Allen,
Iets of iemand heeft op mijn Linux Ubuntu 10.04 LTS y2kupdate geinstalleerd in de crontab. Na wat research blijkt dit een rootkit en/of een file te zijn die mijn server lid maakt van een IRC botnet.
De inhoud van de cronjob is als volgt:
* * * * * /dev/shm/emech-linux-fast/y2kupdate >/dev/null 2>&1
Als ik naar /dev/shm/ ga zie ik geen emech-linux-fast. De destbetreffende user waar de cronjob op geinstalleerd stond had was geen super user. De user is inmiddels verwijderd en daarmee de cronjob ook. Ik ben van plan om de server zo snel mogelijk opnieuw te installeren maar aangezien het om een productie omgeving gaat moet ik het tot die tijd hiermee doen. Iemand enig idee of dit voldoende is?
Iets of iemand heeft op mijn Linux Ubuntu 10.04 LTS y2kupdate geinstalleerd in de crontab. Na wat research blijkt dit een rootkit en/of een file te zijn die mijn server lid maakt van een IRC botnet.
De inhoud van de cronjob is als volgt:
* * * * * /dev/shm/emech-linux-fast/y2kupdate >/dev/null 2>&1
Als ik naar /dev/shm/ ga zie ik geen emech-linux-fast. De destbetreffende user waar de cronjob op geinstalleerd stond had was geen super user. De user is inmiddels verwijderd en daarmee de cronjob ook. Ik ben van plan om de server zo snel mogelijk opnieuw te installeren maar aangezien het om een productie omgeving gaat moet ik het tot die tijd hiermee doen. Iemand enig idee of dit voldoende is?