torro hat geschrieben:die schriftgröße ist auch n fehler, will damit sagen, daß ich nicht blind bin...

Ist nen Seiteneffekt, sollte behoben sein.

Digger hat geschrieben:und wo kommt der her? über Videos? Fotos? sonst hat ja keiner zugriff von draussen. könnte ein User PC verseucht sein?

Entweder eine Schwachstelle in einem Script auf der Kiste (da lag noch ein vergessenes Joomla rum), oder noch Auswirkungen des ssh bugs in Debian, oder was ganz anderes.

adrock hat geschrieben:...aber besteht dann nicht die Gefahr, dass Du morgen ein neues Rootkit 'drauf hast? Installierst Du eine neuere Version?

Ich installiere die aktuellste Version, und generiere auf jeden Fall für alle Accounts mit Remoterechten neue Zertifikate.

tracer hat geschrieben:

Digger hat geschrieben:und wo kommt der her? über Videos? Fotos? sonst hat ja keiner zugriff von draussen. könnte ein User PC verseucht sein?

Entweder eine Schwachstelle in einem Script auf der Kiste (da lag noch ein vergessenes Joomla rum), oder noch Auswirkungen des ssh bugs in Debian, oder was ganz anderes.

hmm, also nicht zu lokalisieren.

Danke

Das war bestimmt der Gärtner!
(zumindest in alten Filmen war das immer so! )

Hmmm... naja, für das Rootkit müssten ja gleich mehrere Sachen zusammenkommen. Zum einen der Zugriff auf Shell-Ebene, wobei dafür sicherlich eines der PHP Skripte o.ä. möglich wäre, und dann noch der Root-Exploit. Direkten SSH Root-Zugang nur mit Passwort wirst Du ja nicht freigeschaltet haben

Na dann happy installing und hoffen wir einfach mal es war ein Überbleibsel...

Ciao...
Markus

adrock hat geschrieben:Na dann happy installing und hoffen wir einfach mal es war ein Überbleibsel...

yap.

Wenn du noch das alte Debian hast wars sicherlich der SSH Bug oder gar der Kernel Bug von 2.6.17 - 2.6.23.16 da war doch auch was gewesen wenn ich mich rech errinere.Eigentlich sagt man ja Never touch a running System aber das nutzen dann solche Leute aus


Und bei den Bugs nutz auch kein SSH per Keyfile Aber vielleicht ein Portknocking währe noch ne Option


Aber Micha macht das schon

135erHeli hat geschrieben:Aber vielleicht ein Portknocking währe noch ne Option

Wäre evtl. ne Option, müsste das nur in die Scripte einbauen, die per rsync über ssh ihre Sicherungen wegspeichern.

Was das alles immer fürn Rattenschwanz nachsich ziehen tut

tracer hat geschrieben:Du bist da auch jeden Tag ...

Schön

Aber das geht nicht mehr
Zumindest bei mir


Cu

Harald

Hallo Micha,

ist das auch die Ursache für die Probleme beim HELI-X-Server?

Gruss

Michael

135erHeli hat geschrieben:Wenn du noch das alte Debian hast wars sicherlich der SSH Bug oder gar der Kernel Bug von 2.6.17 - 2.6.23.16 da war doch auch was gewesen wenn ich mich rech errinere.Eigentlich sagt man ja Never touch a running System aber das nutzen dann solche Leute aus


Und bei den Bugs nutz auch kein SSH per Keyfile Aber vielleicht ein Portknocking währe noch ne Option


Aber Micha macht das schon

Das wollte ich auch gerade sagen. *nurBahnhofversteh*

helihopper hat geschrieben:

tracer hat geschrieben:Du bist da auch jeden Tag ...

Schön

Aber das geht nicht mehr
Zumindest bei mir

dito

aber mach kein Stress

MichaelS hat geschrieben:ist das auch die Ursache für die Probleme beim HELI-X-Server?

Hatte ich auch schon gehofft, passt aber zeitlich nicht zusammen
Aber wenn der Server hier DB und Forum packt, haue ich den HeliX-Server auf jeden Fall auf die andere Kiste wieder drauf.