oh dann habe ich hier was missverstanden dachte FAST-CGI war das Problem
check. SUPHP und FAST-CGI aktiviert
Danke!
Zuletzt bearbeitet:
ispconfig-server gehackt?
- Ersteller des Themas Sigix
- Erstellungsdatum
oh dann habe ich hier was missverstanden dachte FAST-CGI war das Problem
check. SUPHP und FAST-CGI aktiviert
Danke!
Hi,
Bei mir hat schlussendlich das killen der Dienste (perl, k, st, k , ..... ) sowie das Verschieben des php5 Ordners, dass umstellen auf fcgi + suexec sowie das offline-nehmen der betroffenen (gehackten) Seite geholfen!
Danke nochmals an Till für seine überaus tolle Hilfe!
Lg Sigi
Bei mir hat schlussendlich das killen der Dienste (perl, k, st, k , ..... ) sowie das Verschieben des php5 Ordners, dass umstellen auf fcgi + suexec sowie das offline-nehmen der betroffenen (gehackten) Seite geholfen!
Danke nochmals an Till für seine überaus tolle Hilfe!
Lg Sigi
hm die betroffene seite konnte ich bisher nicht ermitteln.
Obwohl ich alle dateien im tmp gelöscht habe lieht da schon wieder zeugs rum.
Alles von www-data.
was kann ich noch machen um das loch zuzubekommen?
Es laufen mehrere Perl Prozesse wenn ich die kille kommen neue.
cat /proc/20131/cmdline
lifert mir WATCHDOG zurück.
Kann mir noch jemand tipps geben?
Vielen Dank und Gruß
TobiTo
Obwohl ich alle dateien im tmp gelöscht habe lieht da schon wieder zeugs rum.
Alles von www-data.
was kann ich noch machen um das loch zuzubekommen?
Es laufen mehrere Perl Prozesse wenn ich die kille kommen neue.
cat /proc/20131/cmdline
lifert mir WATCHDOG zurück.
Kann mir noch jemand tipps geben?
Vielen Dank und Gruß
TobiTo
noch nicht aber jetzt ja.
Ok, dann ist es kein Wunder dass die Prozesse wieder aufgetreten sind. gehe bittenochmal den ganzen thraed durch und überprüf ob Du alles so gemacht hast, /tmp gesichert und die php binaries entfernt. Dann kille alle php prozesse.
Längerfristiig musst Du dann aber auf jeden Fall Dein Linux updaten. Denn sonst ist es nur eine Frage der Zeit bis Du wieder ähnliche Probleme bekommst. Das Betriebssystem immer auf aktuellem stand zu halten ist eine der wichtigsten Aufgaben wenn Du einen Server sicher betreiben möchtest.
dann gehe das mal nochmal durch:
Post 7 cron tab checken:
* * * * * /tmp/update >/dev/null 2>&1
Zeile entfernt.
Anmerkung: da war letzte mal nichts
Post 14 tmp noexece mounten:
mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /tmp/
mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /var/tmp/
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 78G 14G 61G 18% /
tmpfs 1008M 0 1008M 0% /lib/init/rw
udev 10M 600K 9.5M 6% /dev
tmpfs 1008M 0 1008M 0% /dev/shm
/dev/hda2 251M 22M 217M 10% /boot
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /var/tmp
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /var/tmp
nu ist doppelt auch doof oder?
Post 16 updates:
F...! da standen die paket fürs update auf das nächste release drin... nicht gesehen.
Mal sehen was jetzt passiert.... man sollte den krams nicht nebenbei machen... ich mich meld wieder falls mein system nochmal wieder leben sollte... F....! F...!
Danke und Gruss
Post 7 cron tab checken:
* * * * * /tmp/update >/dev/null 2>&1
Zeile entfernt.
Anmerkung: da war letzte mal nichts
Post 14 tmp noexece mounten:
mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /tmp/
mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /var/tmp/
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 78G 14G 61G 18% /
tmpfs 1008M 0 1008M 0% /lib/init/rw
udev 10M 600K 9.5M 6% /dev
tmpfs 1008M 0 1008M 0% /dev/shm
/dev/hda2 251M 22M 217M 10% /boot
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /var/tmp
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /tmp
tmpfs 2.0G 0 2.0G 0% /var/tmp
nu ist doppelt auch doof oder?
Post 16 updates:
F...! da standen die paket fürs update auf das nächste release drin... nicht gesehen.
Mal sehen was jetzt passiert.... man sollte den krams nicht nebenbei machen... ich mich meld wieder falls mein system nochmal wieder leben sollte... F....! F...!
Danke und Gruss
so weiter gehts
Post 16 check (System war übrigens so aktuell wie lenny sein kann)
Post 18 Und poste mal die ausgabe von: /usr/lib/cgi-bin/php5 -v
bash: /usr/lib/cgi-bin/php5: No such file or directory
Post 19 Und nicht vergessen das ganze rebootfest zu machen mit einem Eintrag in der /etc/fstab.
check
Post 22: done
so jetzt muss ich vermutlich abwarten oder?
ich hatte mich ja damals mal hingesetzt und wollte auf squeeze aber irgendwie drüber weggekommen.
Darf ich um einen rat bitten:
Stand ISPConfig
This Version: 3.0.4.6
New Version : 3.0.5.3
Stand Debian: 5.0.10
In welcher Reihenfolge sollte ich updaten?
Danke und Gruß
TobiTo
Post 16 check (System war übrigens so aktuell wie lenny sein kann)
Post 18 Und poste mal die ausgabe von: /usr/lib/cgi-bin/php5 -v
bash: /usr/lib/cgi-bin/php5: No such file or directory
Post 19 Und nicht vergessen das ganze rebootfest zu machen mit einem Eintrag in der /etc/fstab.
check
Post 22: done
so jetzt muss ich vermutlich abwarten oder?
ich hatte mich ja damals mal hingesetzt und wollte auf squeeze aber irgendwie drüber weggekommen.
Darf ich um einen rat bitten:
Stand ISPConfig
This Version: 3.0.4.6
New Version : 3.0.5.3
Stand Debian: 5.0.10
In welcher Reihenfolge sollte ich updaten?
Danke und Gruß
TobiTo
An sich gehen Debian updates recht gut, aber man weiß nie. Ich würde Dir raten alles so zu sichern dass Du eine Neuinstallation wie von Nowayback vorgeschlagen machen könntest, also alle Daten und Konfiguration sicher aufbewahrt auf einem anderen speichermedium und dann einfach das Update versuchen. wenn es funktioniert, gut, wenn es fehlschlägt dann machst Du eine neuinstallation und spielst die Daten wieder ein.
Zum Debian Update:
Da Du noch Debian 5 einsetzt, würde ich erst auf debian 6 aktualisieren und dann erst auf debian 7. Zuesrt debian updaten, dann ispconfig. der ispconfig installer korrigiert bzw. aktualisiert dann auch einige Config Dateien, die nicht mehr zur neuen debian Version passen.
Zum Debian Update:
Da Du noch Debian 5 einsetzt, würde ich erst auf debian 6 aktualisieren und dann erst auf debian 7. Zuesrt debian updaten, dann ispconfig. der ispconfig installer korrigiert bzw. aktualisiert dann auch einige Config Dateien, die nicht mehr zur neuen debian Version passen.