Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Problem mit UDF-Flooding

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
SaschaK.
Gast





BeitragVerfasst am: 10. Sep 2010 17:57   Titel: Problem mit UDF-Flooding

Guten Tag,

ich habe ein Problem mit meinem gemieteten vServer. Dieser wurde nun schon zum dritten Male wegen UDF-Floodings gesperrt. Habe folgendes log-File von meinem Anbieter bekommen:
11:11:39.066136 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066136 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066252 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066253 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066253 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066254 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066256 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066384 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066385 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066503 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066505 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066870 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066871 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066872 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066988 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066989 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066992 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15

Zum Sachverhalt: Hatte ursprünglich eine eigene Homepage (PhP-Kit) und einen Teamspeak-Server am laufen. nach dem zweiten Sperren des Servers habe ich ausschliesslich den TS-Server laufen lassen. Also Apache noch nicht einmal installiert. Gleiches Problem.
Server wurde nun zum dritten Male entsperrt. Nun würde mich interessieren, wie ich dieses Problem in Zukunft am besten umgehen kann.

Falls weitere Log-Dateien zur Diagnose benötigt werden, teilt mir diese bitte mit, ich werde sie dann umgehen hier posten.

MfG,
Sascha
 

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 11. Sep 2010 11:01   Titel:

Dein vServer hat sich über irgendeine Sicherheitslücke (vermutlich in PHP oder einem PHP-Skript) ein Schadprogramm eingefangen, das munter Pakete an Port 22 des Rechners 89.44.246.5 schickt.

Du musst dieses Schadprogramm lokalisieren und runterwerfen. Da es ständig von Port 34072 aus sendet, dürfte es einfach zu finden sein.
Code:

# netstat -anp | grep 34072

In der 6. Spalte stehen die PID und der Name des Executables des Übertäters. Hole, bevor du ihn killst genauere Infos über ihn ein.
Code:

# ls -l /proc/PID

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

SaschaK.
Gast





BeitragVerfasst am: 11. Sep 2010 12:12   Titel: Problem mit UDF-Flooding

Ok, danke. Werds mal ausprobieren. Allerdings hab ich den Server gerade erst wieder neugestartet.

Derzeit ist noch Ruhe... Werde erstmal ein wenig abwarten müssen bis es wieder losgeht..

Berichte dann was als Ausgabe kam.

Vielen Dank schonmal für sie schnelle Hilfe..
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy