[vz-dev] Erreichbarkeit Wiki

[Norbert Walter]

Hi zusammen,

ich hatte mal ein ähnliches Problem mit der Auslastung meines  
Webservers. Bei mir lag es daran, dass mein Server gehackt wurde. Über  
ein Leck im Apache konnten Angreifer in das tmp-Verzeichnis schreiben  
und haben dort Schadcode abgelegt und ausgeführt. Bei mir waren es  
PHP- und Python-Scripte die im Kontext des Apache-Servers aufgerufen  
wurden. Die Scripte enthielten einen vollwertigen SMTP-Server-Ersatz  
über den Spam-Mails versendet wurden. Der Spuk begann nur zu ganz  
bestimmten Zeiten und lastete den Rechner voll aus. Wenn man alte  
Backups eingespielt hat lief es wieder bis dann irgend wann alles  
wieder von vorne losging. Prüft mal das tmp-Verzeichnis auf  
ausführbare Dateien und checkt die Prozesstabelle auf fremde  
Scriptcodeaufrufe unter dem WWW-Apache-User. Ich würde auch ein  
Rootkit-Überprüfung durchführen. Letzten Endes blieb mir nicht anderes  
übrig als alle ausführbaren Scripte und Dateien in tmp zu verbieten  
und automatisiert per Script zu löschen. Dann war der Spuk endgültig  
vorbei.

Norbert

Zitat von Justin Otherguy <justin at justinotherguy.org>:

>
>> Am 03.04.2017 um 08:31 schrieb Andreas Götz <cpuidle at gmail.com>:
>>
>> Perfekt. Wäre es ok wenn wir das erstmal solange beobachten- vor  
>> Umzug- bis wir den Code als Ursache ausschließen können?
>
> absolut - genau das ist der Plan :)
>
> Was mir inzwischen durch den Kopf gegangen ist:
>
> sowohl zwischen dem 30./31.3. als auch jetzt gestern Abend ist durch  
> den Neustart der Speicherverbrauch sofort runter gegangen.
> Erst am Morgen des 31.3. und auch jetzt wieder ist dieser angestiegen:
>
>
>
> Spannend werden die nächsten beiden Stunden.
>
> Am 30./31.3. sah das so aus:
>
>
>
>
> Gruß, J.
>
>