Server gehackt??? brauch Hilfe

thomasde

New Member
Hallo liebes Forum,

ich brauch mal Rat und Hilfe

hab heute zufällig eine Datei auf mein server gefunden wso.php lag in allen domain verzeichnissen darauf hin hab ich rkhunter laufen lassen

mit diesem ergebniss

Code:
/usr/bin/curl                                            [ Warnung ]
Ausgabe:
curl: (3) [globbing] illegal character in range specification at pos 2
curl: (6) Couldn't resolve host 'Warnung'
----------------------------------------------------------
/usr/bin/GET                                             [ Warnung ]
Ausgabe:
400 URL must be absolute
<html><head>

<title></title></head>
<!-- Redirection Services SJL01WRED02 H1 -->
<frameset rows='100%, *' frameborder=no framespacing=0 border=0>
<frame src="http://www.privatelyowned.com/index2.htm" name=mainwindow frameborder=no framespacing=0 marginheight=0 marginwidth=0></frame>
</frameset>
<noframes>
<h2>Your browser does not support frames.  We recommend upgrading your browser.</h2><br><br>
<center>Click <a href="http://www.privatelyowned.com/index2.htm">here</a> to enter the site.</center>
</noframes></html>400 URL must be absolute
----------------------------------------------------
/usr/bin/lynx                                            [ Warnung ]
Ausgabe:

Suche nach  ']' erster
Suche nach  'www.].com' (Versuch zu raten...)
Suche nach  'www.].edu' (Versuch zu raten...)
Suche nach  'www.].net' (Versuch zu raten...)
Suche nach  'www.].org' (Versuch zu raten...)
Suche nach  '[' erster
Suche nach  'www.[.com' (Versuch zu raten...)
Suche nach  'www.[.edu' (Versuch zu raten...)
Suche nach  'www.[.net' (Versuch zu raten...)
Suche nach  'www.[.org' (Versuch zu raten...)
Suche nach  'Warnung' erster
Suche nach  'www.Warnung.com' (Versuch zu raten...)

Suche nach ] erster
Suche nach www.].com (Versuch zu raten...)
Suche nach www.].edu (Versuch zu raten...)
Suche nach www.].net (Versuch zu raten...)
Suche nach www.].org (Versuch zu raten...)
Zugriff fehlgeschlagen: `file://localhost/root/]'
Obacht: Zugriff auf Dokument nicht möglich.

lynx: Unzugängliche Startdatei
--------------------------------------------
/usr/bin/lwp-request                                     [ Warnung ]
Ausgabe:

400 URL must be absolute
<html><head>

<title></title></head>
<!-- Redirection Services SJL01WRED03 H1 -->
<frameset rows='100%, *' frameborder=no framespacing=0 border=0>
<frame src="http://www.privatelyowned.com/index2.htm" name=mainwindow frameborder=no framespacing=0 marginheight=0 marginwidth=0></frame>
</frameset>
<noframes>
<h2>Your browser does not support frames.  We recommend upgrading your browser.</h2><br><br>
<center>Click <a href="http://www.privatelyowned.com/index2.htm">here</a> to enter the site.</center>
</noframes></html>400 URL must be absolute
------------------------------------------------------------------
/usr/bin/lynx.cur                                        [ Warnung ]
Ausgabe:
Gleiche wie oben

Danke für die Hilfe schon mal

Gruß
Thomas
 

Till

Administrator
Welche Linux Distribution und version hast Du da laufen? Laufen alle Webseiten im fcgi Modus mit aktiviertem suexec?
 

Till

Administrator
Ok. Wurden alle Debian Updates regelmäßig mit:

apt-get update
apt-get upgrade

installiert?

Hast Du irgendwelche perl prozesse die dauern laufen wenn Du mit "top" checkst? was sagt rkhunter?
 

thomasde

New Member
ist alles auf den neusten stand....

ich könnte jetzt mit (rkhunter --propupd) die Warnungen weg machen, bringt mir nur nichts dann ist die Tür offen

ich glaub ich setzt den Server neu auf um sicher zugehen

dacht nur hier kennt einer das Problem...
 

Till

Administrator
Achso ja, Du hattest das ja schon oben gepostet. sorry. Den rkhunter hast Du aber global als root laufen lassen, oder? Mich wundert dass er da auf Dinge nicht zugreifen kann, was als root an sich nicht passieren sollte.
 

Werbung

Top