WCM Forum - Einzelnen Beitrag anzeigen

frankenheimer · 05.12.2006, 00:01

hat nichts mit proftp oder ftp zu tun. Das war eine Vulnerability eines php scripts. Nachdem Apache als setuid apache, der Masterprozess aber als root läuft wurde dein Server mit einem Script gehackt. Danach segfaultet ein Childprozess und ...
a rootkit was born. Der Prozess wird übernommen. Schau mal nach "long lost child came home" in den apache logfiles.
Schaue auch mal mit lsattr in den kompromitierten Directories nach. Auf jedem fall neu installieren. Php ohne register globals verwenden , oder noch besser mit mod-fastcgi als user laufen lassen. Such einfach nach php4 und php5 und mod_fastcgi.
Lg. Fhmer

05.12.2006, 00:01	#7
frankenheimer Senior Member Registriert seit: 09.05.2003 Alter: 52 Beiträge: 101	Das hat nichts mit proftp oder ftp zu tun. Das war eine Vulnerability eines php scripts. Nachdem Apache als setuid apache, der Masterprozess aber als root läuft wurde dein Server mit einem Script gehackt. Danach segfaultet ein Childprozess und ... a rootkit was born. Der Prozess wird übernommen. Schau mal nach "long lost child came home" in den apache logfiles. Schaue auch mal mit lsattr in den kompromitierten Directories nach. Auf jedem fall neu installieren. Php ohne register globals verwenden , oder noch besser mit mod-fastcgi als user laufen lassen. Such einfach nach php4 und php5 und mod_fastcgi. Lg. Fhmer