Likes Likes:  0
Resultaten 16 tot 23 van de 23
Pagina 2 van de 2 Eerste 1 2
Geen
  1. #16
    Ontzettend vaag Apache probleem
    geregistreerd gebruiker
    1 Berichten
    Ingeschreven
    20/12/03

    Locatie
    In my NOC

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked



    Smile ideetje

    Weet je zeker dat er niet ergens een script op je server draait dat vatbaar is voor een zgn "File Injection Exploit" of zo?
    Een voorbeeld is de exploit in My_eGallery voor bv PostNuke en PHP Nuke.

    Doe eens "ps ax" en kijk of er geen rare programmaatjes draaien (bijvoorbeeld r0nin, of cgi-txt). Die troep veroorzaakt namelijk soorgelijk gedrag (apache down en niet herstartbaar). Vooral die r0nin is de laatste tijd erg aktief in Nederlandse IP-ranges.
    Je kan ze ook vinden door te kijken in je /tmp
    Daarin zie je duidelijk deze bestandjes staan met als owner apache.

    Zie ook: Zie ook: http://www.nukecops.com/article-1015-nested-0-0.html

  2. #17
    Ontzettend vaag Apache probleem
    Rien ne va plus
    332 Berichten
    Ingeschreven
    11/06/03

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: .
    Ondernemingsnummer: .

    Thread Starter

    Re: ideetje

    Origineel geplaatst door nickpick
    Weet je zeker dat er niet ergens een script op je server draait dat vatbaar is voor een zgn "File Injection Exploit" of zo?
    Een voorbeeld is de exploit in My_eGallery voor bv PostNuke en PHP Nuke.
    Ik zal eens rond kijken of iemand dergelijk software draait.


    Doe eens "ps ax" en kijk of er geen rare programmaatjes draaien (bijvoorbeeld r0nin, of cgi-txt). Die troep veroorzaakt namelijk soorgelijk gedrag (apache down en niet herstartbaar). Vooral die r0nin is de laatste tijd erg aktief in Nederlandse IP-ranges.
    Je kan ze ook vinden door te kijken in je /tmp
    Daarin zie je duidelijk deze bestandjes staan met als owner apache.
    "ps ax" levert geen onbekende processen op, de /tmp dir ziet er netjes uit zonder enige verdachte files. Ik ga het natuurlijk wel in de gaten houden.

    Wat is "r0nin"? (een gebrek aan tijd om dit uit te zoeken doet mij deze vraag stellen)

  3. #18
    Ontzettend vaag Apache probleem
    geregistreerd gebruiker
    956 Berichten
    Ingeschreven
    06/04/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 30179952
    Ondernemingsnummer: nvt

    Via bijv. eGallery kan r0nin worden uitgevoerd, hiermee kunnen ze root toegang krijgen.

    Probeer chkrootkit, deze kan r0nin detecteren..

  4. #19
    Ontzettend vaag Apache probleem
    Rien ne va plus
    332 Berichten
    Ingeschreven
    11/06/03

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: .
    Ondernemingsnummer: .

    Thread Starter
    Origineel geplaatst door mihosnet
    Probeer chkrootkit, deze kan r0nin detecteren..
    Ik heb chkrootkit-0.42b gedraaid, maar het kwam zo'n beetje hier op neer: "nothing found/not infected"

    Dus die "r0nin" (wat een worm ik neem ik aan) kan het niet zijn.

  5. #20
    Ontzettend vaag Apache probleem
    geregistreerd gebruiker
    956 Berichten
    Ingeschreven
    06/04/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 30179952
    Ondernemingsnummer: nvt

    En je ziet 'm ook niet in de /tmp map?

  6. #21
    Ontzettend vaag Apache probleem
    Rien ne va plus
    332 Berichten
    Ingeschreven
    11/06/03

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: .
    Ondernemingsnummer: .

    Thread Starter
    Origineel geplaatst door mihosnet
    En je ziet 'm ook niet in de /tmp map?
    Nee hoor /tmp ziet er netjes uit... ook andere temp dirs (ivm openbasedir restrictie) zien er prima uit.

  7. #22
    Ontzettend vaag Apache probleem
    geregistreerd gebruiker
    956 Berichten
    Ingeschreven
    06/04/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 30179952
    Ondernemingsnummer: nvt

    het kan ook onder de naam 'friends' zijn verstopt in de map /tmp

  8. #23
    Ontzettend vaag Apache probleem
    Rien ne va plus
    332 Berichten
    Ingeschreven
    11/06/03

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: .
    Ondernemingsnummer: .

    Thread Starter
    Origineel geplaatst door mihosnet
    het kan ook onder de naam 'friends' zijn verstopt in de map /tmp
    Nee hoor daar staat alleen een hele zooi session files enzo.. nix van dat... maar ik wil het zelf ook wel even uitzoeken, heb je misschien een link met meer info?

Pagina 2 van de 2 Eerste 1 2

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics