Hallo zusammen,
wir haben den ausgehenden Traffic unseres Webservers über einen Contentscanner mit Virenscanner umgeleitet.
Dieser hat heute Alarm geschlagen. Nach gründlicher Überprüfung haben wir im /tmp Order eine infizierte Datei gefunden. Diese gehörte admispconfig.admispconfig .
Im Error-Log von ISPConfig sind auch einige Fehler aufgelistet, z.B.:
a) Fehlgeschlagene Shellscripte
b) Eine f*l*o*o*d.t*x*t wurde von einer externen Adresse aufgerufen
c) Zusätzlich wurde im /tmp Ordner eine b*i*n*d.t*a*r*.g*z und ein JPG-File erstellt
Als Sofortmaßnahme haben wir erstmal vom Admin und "Haupt--Benutzer" die Passwörter geändert und das Setup von ISP-Config erneut durchlaufen lassen.
Weiterhin haben wir rkhunter, f-secure, clamav und fprot durchlaufen lassen und nix verdächtiges gefunden.
Wie sollten wir jetzt weiter vorgehen?
Vielen Dank für eure Hilfe im Voraus
wir haben den ausgehenden Traffic unseres Webservers über einen Contentscanner mit Virenscanner umgeleitet.
Dieser hat heute Alarm geschlagen. Nach gründlicher Überprüfung haben wir im /tmp Order eine infizierte Datei gefunden. Diese gehörte admispconfig.admispconfig .
Im Error-Log von ISPConfig sind auch einige Fehler aufgelistet, z.B.:
a) Fehlgeschlagene Shellscripte
b) Eine f*l*o*o*d.t*x*t wurde von einer externen Adresse aufgerufen
c) Zusätzlich wurde im /tmp Ordner eine b*i*n*d.t*a*r*.g*z und ein JPG-File erstellt
Als Sofortmaßnahme haben wir erstmal vom Admin und "Haupt--Benutzer" die Passwörter geändert und das Setup von ISP-Config erneut durchlaufen lassen.
Weiterhin haben wir rkhunter, f-secure, clamav und fprot durchlaufen lassen und nix verdächtiges gefunden.
Wie sollten wir jetzt weiter vorgehen?
Vielen Dank für eure Hilfe im Voraus