Virus eingeschleust?

Dieses Thema im Forum "Allgemein" wurde erstellt von Clemens, 5. Okt. 2009.

  1. Clemens

    Clemens New Member

    Hallo zusammen,

    ich habe gestern von meinem Netzwerkbetreiber die INFO bekommen, dass von meinem Server aus Portscans auf andere Server durchgeführt wurden. Gefunden habe ich diesbezüglich nichts, doch nun bin ich über etwas anderes gestoßen.

    in der /var/spool/cron/crontags/admispconfig steht folgende Zeile:
    * * * * * /var/tmp/.shell/update >/dev/null 2>&1

    Ich habe mich nun auf die Suche nach dieser Datei gemacht. Die /var/tmp/.shell existiert und der Besitzer ist admispconfig mit den Rechten rwx------ Aber es ist keine Datei mit einer Größe oder ein Link oder Verzeichnis. Beim Versuch was auch immer auf meinen PC zu laden, fing mein AntiVir regelrecht zu spinnen an und meldete mir Unmengen an Viren.

    Vorsichtshalber habe ich die Datei erst einmal umbenannt. Kann mir jemand helfen oder sagen, was da los ist?

    Gruß
     
  2. Till

    Till Administrator

    Ich vermute mal, dass Dir da jemand eine Backdoor hochgeladen hat, vermutlich über eine veralatete phpmyadmin Version (der läuft ja auch unter dem user admispconfig). Da gab es vor einiger Zeit einen Bug in phpmyadmin, der das möglich machte. Ich würde wie folgt vorgehen.

    1) Lösche den Cronjob.
    2) Lösche das Verzeichnis /var/tmp/.shell
    3) Update den phpmyadmin, den Du in ispconfig installiert hast, vorher am Besten das Verzeichnis /home/admispconfig/ispconfig/web/phpmyadmin löschen.
    4) Scanne Deinen Rechner mal mit rkhunter
     
  3. Clemens

    Clemens New Member

    Hallo,

    ich habe das empfohlene getan, Cronjob gelöscht, Verzeichnis .shell gelöscht, phpmyadmin gelöscht und über das admintool neu installiert (neueste Version). Anschließend habe ich noch rkhunter laufen lassen, glücklicherweise ohne Befund. Dann habe ich gesehen, dass meine 2.-Version etwas veraltet war und habe dies upgedatet. Doch nun will Munin nicht mehr. Ich meine, die stats im Verzeichnis /var/lib/munin/ werden weiterhin aktualisiert, aber das Web-Verzeichnis /home/admispconfig/ispconfig/web/monitoring/... wird nicht mehr aktualisiert. In /etc/cron.d gibt es die Datei munin mit den Cronjobs. Wie kann ich prüfen, ob diese Cronjobs noch aufgerufen werden und wenn nicht, wie bekomme ich die Cronjobs wieder zum laufen?

    Gruß
     
  4. Clemens

    Clemens New Member

    So, ich habe mich mal zwei Stunden intensiv mit Munin auseinander gesetzt. Die Cron laufen, jedenfalls sagen die Logs das aus. munin-cron wird demnach aufgerufen, doch sieht man sich die log-Dateien von Munin an, scheinen aber nur zwei der Programme gelaufen zu sein.

    munin-limits.log und munin-html.log sind aktuell
    munin-update.log munin-node.log munin-graph.log sind es nicht.

    Code:
    sudo netstat -tulpen | grep munin ergibt:
    tcp   0   0 0.0.0.0:4949    0.0.0.0:*     LISTEN     0    2120382    31453/munin-node
    
    Code:
    ps -ef | grep munin ergibt:
    root   31453     1  0 15:45 ?     00:00:00 /usr/sbin/munin-node
    
    Jetzt komme ich absolut nicht weiter. Hat jemand eine Idee, wo ich noch suchen oder prüfen kann? Wäre für mich wichtig. Danke.

    Gruß
     
  5. dexcom

    dexcom New Member


    Mal so auf Verdacht. Die Gruppe und Eigentümer des Verzeichnisses "/home/admispconfig/ispconfig/web/monitoring" sollten "munin" gehören. Prüfe das mal. Falls da was anderes steht, kannst Du folgendes tun.

    cd /home/admispconfig/ispconfig/web/

    gefolgt von einem

    chown -R munin:munin monitoring/

    und noch ein

    /etc/init.d/monit restart

    Vielleicht hilft es?

    cu

    dexcom
     
  6. Clemens

    Clemens New Member

    Hallo,

    danke für den Versuch, aber die User- und Gruppenrechte sind korrekt gesetzt und ein Restart von monit ist unnötig, da monit tadellos läuft. Munin läuft nicht richtig. Sie werden im Cron korrekt aufgerufen, es finden sich aber keine Fehlermeldungen in keinen der Logs. Und beim Aufrufen von Hand wird alles korrekt aktualisiert. ich kann doch nun nicht alle fünf Minuten die drei nicht laufenden Tools von Hand starten ;-) . Ich werde Munin wohl erst einmal komplett vom Server werfen (inkl. aller Logs und confs und dann ganz neu aufsetzen.) Es sei denn, es hat noch jemand von euch noch eine geniale Idee.

    Gruß
     

Diese Seite empfehlen