Ik werd gisteren gebeld dat mijn server PORT scans aan het doen was op een andere server. Ik was me van geen kwaad bewust en ging eens kijken. Wat ik heb gedaan (dingen ik vaak wel standaard doe in een cron of eits dergelijks):
- Maldet uitgevoerd, vind niks
- SSH poort verandert
- IPtables aangescherpt
- Chkrootkit uitgevoerd, deze geeft wel hidden processes:
Wat voor de rest opvalt is dat er veel HTTPD threads draaien die ook maar blijven draaien en samen veel geheugen gebruiken (~50%), ik kan alleen niks raars vinden in de Apache domain logs.
Ik vermoed dat een van de sites die ik host geïnfecteerd is, maar hoe kom ik hierachter / hoe sluit ik dit uit?
- Maldet uitgevoerd, vind niks
- SSH poort verandert
- IPtables aangescherpt
- Chkrootkit uitgevoerd, deze geeft wel hidden processes:
code:
1
2
| You have 75 process hidden for readdir command You have 75 process hidden for ps command |
Wat voor de rest opvalt is dat er veel HTTPD threads draaien die ook maar blijven draaien en samen veel geheugen gebruiken (~50%), ik kan alleen niks raars vinden in de Apache domain logs.
Ik vermoed dat een van de sites die ik host geïnfecteerd is, maar hoe kom ik hierachter / hoe sluit ik dit uit?
/u/28468/librarian2.png?f=community)
, server leeggooien, opnieuw opbouwen (niet zomaar configfiles kopiëren), alles updaten, restore van enkel data, hardenen, actiever loggen (waarbij een geslaagde aanvaller natuurlijk niet de rechten mag hebben om elders opgeslagen logs te verwijderen of aanpassen).