PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virenbefall bei SuSe 9.0 Rootserver (help)



NachtkindFX
27.12.04, 18:30
Hallo !

Auf meinem Root Server Linux SuSe 9.0 hat sich wohl ein Wurm eingenistet.

ich habe einmal auf meinen Server gesehen, und dabei ist mir folgender
Prozess aufgefallen

/usr/local/sbin/httpd - spy

Dieses deutet auf folgendes hin.

http://cert.uni-stuttgart.de/archive/bugtraq/2004/12/msg00417.html

Soweit sogut.

Nur wie bekomme ich den Wurm entfernt ?

psy
27.12.04, 18:58
server neu installieren lassen und dich in die materie einarbeiten!

Roger Wilco
27.12.04, 19:01
Nur wie bekomme ich den Wurm entfernt ?
Server neu aufsetzen. Alternativ Apache beenden, alle Prozesse des Wurms beenden, Daten sichern und Server neu aufsetzen.

NachtkindFX
27.12.04, 19:25
Ich dachte das könnte man verhindern, weil das bei meinem Anbieter 29€ kostet :eek:

Ich find auch nichts, das angegebene Verzeichnis ist leer.

Hab da jetzt schon den 3ten Virenscanner drüber laufen, die finden aber alle nix.

steve-e
27.12.04, 19:28
Was sagen chkrootkit und rkhunter?

NachtkindFX
27.12.04, 19:44
Hast du mal nen Link ?

Hab clamav usw mal Probiert gehabt.


#Edit:


Schon gut habs!

NachtkindFX
27.12.04, 20:00
Was sagen chkrootkit und rkhunter?

Alles ok,
sagen chkrootkit und rkhunter


Ich hab mal den 2er Apache ausgemacht und nen 1.3er an, und der Wurm rührt sich bisher nicht mal abwarten was passiert.

NachtkindFX
28.12.04, 12:27
Nachem ich dachte ich hätte den Virus umgangen, sehe ich dass der Virus seit ca. 4 Uhr die Nacht wieder Aktiv ist Heise meint dazu :

http://www.heise.de/newsticker/meldung/54623



Das zur Info

steve-e
28.12.04, 13:24
Hast du den 'Tipp' von Heise mal versucht, das Problem vorerst einzudämmen?

NachtkindFX
28.12.04, 13:37
Logisch :)

Sitz' grad mit nem Kaffee vor der Konsole und schau ob sich was tut !

Werde dann Bescheid geben, wenn ich mehr weiß.

NachtkindFX
29.12.04, 16:52
Nun der Heise Tipp war wohl die Rettung.

Der Virus ist nun inaktiv.

Ich habe die Webserver beendet.

die php.ini editiert

rebootet

alle Server wieder gestartet.


Seitdem ist alles ruhig *hurra*

steve-e
29.12.04, 20:19
Gut, jetzt kannst du weitere Schritte einleiten.