|
Einbruch
|
 Geschrieben von Beat Rubischon am
Freitag, 24. Juni 2005, 17:13
aus dem php-is-evil dept.
Tja, gestern Abend kam ich nach einem knapp wöchigen Ausflug nach Hause und musste erst einmal meinen Server vornehmen - Cacti hat die eine oder andere Schwachstelle zu denen es einen Scriptkiddie kompatiblen Exploit gibt.
Update: Ein Teil unserer internen Seiten wurde doch tatsächlich noch defaced - und keiner hat's gemerkt. Wie gut dass wir ein anständiges Backup haben...
Am 22. erreichten mich um 19:00 die entsprechenden Advisories, am 23. um 03:00 war auch schon der erste auf meiner Box. 8 Stunden zwischen dem Bekanntwerden des Loches und einem erfolgreichen Einbruch zeigt einmal mehr, dass $SYSADMIN einfach keine Ferientage mehr nehmen darf.
Dummerweise ist das installierte System up to date und der arme Einbrecher hat seine Sploits zum erreichen von r00t-Rechten vergebens hochgeladen. Ein offline-Check mit Tripwire zeigte keinerlei Spuren und ich entschied mich dazu, Cacti erst einmal zu disablen und die Spuren in /var/tmp (nach vorangehendem Backup :-) zu beseitigen.
Cacti ist nun wieder up to date und mein Apache zählt die vergebenen Einbruchsversuche. Es sind doch schon etwas über hundert...
defacement.PNG
293KB (300136 bytes)
Permalink
|
|
|
