Ik hoop niet dat iemand de legitieme ch* bestanden weg gaat gooien n.a.v. die post. Beter hulp inschakelen als je twijfelt.
Afdrukvoorbeeld
Ik hoop niet dat iemand de legitieme ch* bestanden weg gaat gooien n.a.v. die post. Beter hulp inschakelen als je twijfelt.
Als ik terug lees is dit probleem opgelost in versie 1.52
Ik heb hier een DirectAdmin met versie 1.52.1 laatste versie als ik op de website van DirectAdmin (https://www.directadmin.com/versions.php ) en volgens mij heeft DirectAdmin zichzelf geupdate om dit probleem op te lossen.
Hebben jullie standaard de update functie uitstaan?
http://forum.directadmin.com/showthread.php?t=54305
Ja, automatisch updaten is not done mij inziens. Eerst een update checken en dan pas uitrollen.
Automatisch updaten is sowieso een no-go. Overigens zijn er voldoende tools om het semi-automatisch te doen (denk aan Ansible, Puppet icm Foreman, etc) en toch voldoende controle te houden. Vaak komt bij software een minor update met bugfixes uit. Scheelt weer troubleshooten en stel het updaten gaat fout (Custombuild is mooi maar zeker niet foutloos) dan sta je stand-by en weet je dat een update de oorzaak kan zijn.
Overigens is de update oud en zie ik dat klanten die zelf managen veel-al oude versies draaien.
Dat zijn dezelfde personen die zonder probleem een fork bom in hun shell plakken. Ik heb daar niet zo moeite mee. Wie twijfelt en toch verwijderd is 1) niet capable om een live omgeving te beheren en 2) verdient bij de verkeerde keuze gewoon een lintje en een oorkonde. Ongeacht mijn post.
bofh :TLW
En voor de roeptoeters die gelijk hun systemen gaan herinstallen... Wellicht dat een pakketje zoals AIDE je uit de brand helpt de volgende keer.
AIDE kan voor een deel helpen maar dan moet je er wel actief mee aan de slag en niets geeft 100% zekerheid. Soms is het, al is het maar voor je gevoel, beter om een systeem opnieuw op te bouwen en door die zure appel heen te bijten. Alle servers staan in configuratie management, toch, toch? ;)
CPU stats zijn in dit geval trouwens niet altijd een betrouwbare manier om te constateren wanneer de infectie heeft plaats gevonden. De CPU belasting hoeft niet te starten op het moment van de hack. Dat is niet wat we zelf hebben geconstateerd in ieder geval. Je kunt beter de log files van DirectAdmin controleren. Ze komen altijd op dezelfde wijze binnen.
Ik heb het op mijn servers nog niet meegemaakt maar zie hier nuttige info voor als het wel gaat gebeuren. Bedankt voor de kennisdeling!