Server gehackt??? brauch Hilfe

Dieses Thema im Forum "Server Administration" wurde erstellt von thomasde, 13. Dez. 2013.

  1. thomasde

    thomasde New Member

    Hallo liebes Forum,

    ich brauch mal Rat und Hilfe

    hab heute zufällig eine Datei auf mein server gefunden wso.php lag in allen domain verzeichnissen darauf hin hab ich rkhunter laufen lassen

    mit diesem ergebniss

    Code:
    /usr/bin/curl                                            [ Warnung ]
    Ausgabe:
    curl: (3) [globbing] illegal character in range specification at pos 2
    curl: (6) Couldn't resolve host 'Warnung'
    ----------------------------------------------------------
    /usr/bin/GET                                             [ Warnung ]
    Ausgabe:
    400 URL must be absolute
    <html><head>
    
    <title></title></head>
    <!-- Redirection Services SJL01WRED02 H1 -->
    <frameset rows='100%, *' frameborder=no framespacing=0 border=0>
    <frame src="http://www.privatelyowned.com/index2.htm" name=mainwindow frameborder=no framespacing=0 marginheight=0 marginwidth=0></frame>
    </frameset>
    <noframes>
    <h2>Your browser does not support frames.  We recommend upgrading your browser.</h2><br><br>
    <center>Click <a href="http://www.privatelyowned.com/index2.htm">here</a> to enter the site.</center>
    </noframes></html>400 URL must be absolute
    ----------------------------------------------------
    /usr/bin/lynx                                            [ Warnung ]
    Ausgabe:
    
    Suche nach  ']' erster
    Suche nach  'www.].com' (Versuch zu raten...)
    Suche nach  'www.].edu' (Versuch zu raten...)
    Suche nach  'www.].net' (Versuch zu raten...)
    Suche nach  'www.].org' (Versuch zu raten...)
    Suche nach  '[' erster
    Suche nach  'www.[.com' (Versuch zu raten...)
    Suche nach  'www.[.edu' (Versuch zu raten...)
    Suche nach  'www.[.net' (Versuch zu raten...)
    Suche nach  'www.[.org' (Versuch zu raten...)
    Suche nach  'Warnung' erster
    Suche nach  'www.Warnung.com' (Versuch zu raten...)
    
    Suche nach ] erster
    Suche nach www.].com (Versuch zu raten...)
    Suche nach www.].edu (Versuch zu raten...)
    Suche nach www.].net (Versuch zu raten...)
    Suche nach www.].org (Versuch zu raten...)
    Zugriff fehlgeschlagen: `file://localhost/root/]'
    Obacht: Zugriff auf Dokument nicht möglich.
    
    lynx: Unzugängliche Startdatei
    --------------------------------------------
    /usr/bin/lwp-request                                     [ Warnung ]
    Ausgabe:
    
    400 URL must be absolute
    <html><head>
    
    <title></title></head>
    <!-- Redirection Services SJL01WRED03 H1 -->
    <frameset rows='100%, *' frameborder=no framespacing=0 border=0>
    <frame src="http://www.privatelyowned.com/index2.htm" name=mainwindow frameborder=no framespacing=0 marginheight=0 marginwidth=0></frame>
    </frameset>
    <noframes>
    <h2>Your browser does not support frames.  We recommend upgrading your browser.</h2><br><br>
    <center>Click <a href="http://www.privatelyowned.com/index2.htm">here</a> to enter the site.</center>
    </noframes></html>400 URL must be absolute
    ------------------------------------------------------------------
    /usr/bin/lynx.cur                                        [ Warnung ]
    Ausgabe:
    Gleiche wie oben
    
      
    Danke für die Hilfe schon mal

    Gruß
    Thomas
     
  2. Till

    Till Administrator

    Welche Linux Distribution und version hast Du da laufen? Laufen alle Webseiten im fcgi Modus mit aktiviertem suexec?
     
  3. thomasde

    thomasde New Member

    Hi Till!

    ich hab Debian 6 Linux 2.6.32-5-vserver-amd64 auf x86_64

    ja mit fcgi
    und suexec
     
  4. Till

    Till Administrator

    Ok. Wurden alle Debian Updates regelmäßig mit:

    apt-get update
    apt-get upgrade

    installiert?

    Hast Du irgendwelche perl prozesse die dauern laufen wenn Du mit "top" checkst? was sagt rkhunter?
     
  5. thomasde

    thomasde New Member

    ist alles auf den neusten stand....

    ich könnte jetzt mit (rkhunter --propupd) die Warnungen weg machen, bringt mir nur nichts dann ist die Tür offen

    ich glaub ich setzt den Server neu auf um sicher zugehen

    dacht nur hier kennt einer das Problem...
     
  6. Till

    Till Administrator

    Achso ja, Du hattest das ja schon oben gepostet. sorry. Den rkhunter hast Du aber global als root laufen lassen, oder? Mich wundert dass er da auf Dinge nicht zugreifen kann, was als root an sich nicht passieren sollte.
     

Diese Seite empfehlen