Neuer Wurm im Umlauf?

[iGEL]

Moin!

Ich habe gerade auf meinem Webserver eine Menge merkwürdiger Prozesse gefunden. Ich vermute, dass die durch mein phpBB reingekommen sind, da ich noch die alte Version 2.0.15 einsetzte. Ich hab als erstes mal den webserver abgeschaltet und die Prozesse gekillt und leider auch mein /tmp-Verzeichnis gelöscht (hätte mal ne Sicherheitskopie anlegen sollen). Es lagen imho eine ausführbare Testme-Datei sowie eine ausführbare Cp.pl (oder so drin). Den hier aufgeführten Prozess habe ich aber nicht gefunden.

Code: Alles auswählen

www-data 23884  0.0  0.0  1612  592 ?        S    Jul20   0:01 /tmp/sqefebrqq x
www-data 29231  0.0  0.0  1616  592 ?        S    Jul20   0:00 /tmp/obbkshsnv x
www-data  2039  0.0  0.0  1612  592 ?        S    Jul20   0:00 /tmp/obbkshsnv x
www-data  7632  0.0  0.0  1612  592 ?        S    Jul20   0:00 /tmp/obbkshsnv x
www-data 16879  0.0  0.0  1616  592 ?        S    Jul20   0:00 /tmp/eqfodidkr x
www-data 22051  0.0  0.0  1612  592 ?        S    00:53   0:00 /tmp/eqfodidkr x
www-data 27116  0.0  0.0  1616  560 ?        S    01:53   0:00 /tmp/eqfodidkr x
www-data  1117  0.0  0.0  1612  592 ?        S    02:53   0:00 /tmp/eqfodidkr x
www-data  6097  0.0  0.0  1612  592 ?        S    03:53   0:00 /tmp/eqfodidkr x
www-data 11096  0.0  0.0  1612  592 ?        S    04:53   0:00 /tmp/eqfodidkr x
www-data 19953  0.0  0.0  1616  592 ?        S    05:53   0:00 /tmp/eqfodidkr x
www-data 25445  0.0  0.0  1616  600 ?        S    06:53   0:00 /tmp/eqfodidkr x
www-data 30693  0.0  0.0  1616  592 ?        S    07:53   0:00 /tmp/eqfodidkr x
www-data  3334  0.0  0.0  1616  600 ?        S    08:53   0:00 /tmp/eqfodidkr x
www-data  8945  0.0  0.0  1612  584 ?        S    09:53   0:00 /tmp/eqfodidkr x
www-data 14374  0.0  0.0  1612  592 ?        S    10:53   0:00 /tmp/eqfodidkr x
www-data 19619  0.0  0.0  1612  592 ?        S    11:53   0:00 /tmp/eqfodidkr x
www-data 25255  0.0  0.0  1612  592 ?        S    12:53   0:00 /tmp/eqfodidkr x
www-data 30856  0.0  0.0  1612  592 ?        S    13:53   0:00 /tmp/eqfodidkr x
www-data  4070  0.0  0.0  1612  584 ?        S    14:53   0:00 /tmp/eqfodidkr x
www-data  9462  0.0  0.0  1612  592 ?        S    15:53   0:00 /tmp/eqfodidkr x
www-data 20947  0.0  0.0  1612  584 ?        S    16:53   0:00 /tmp/eqfodidkr x
www-data 32404  0.0  0.0  1612  592 ?        S    17:53   0:00 /tmp/eqfodidkr x

Kann das jemand bestätigen? Das der übers phpBB reingekommen ist, ist nur eine Vermutung (läuft ja wie der alte Wurm als www-data und im /tmp-Verzeichnis) auch wenn da nicht viel anderes läuft auf dem Server. Ich mach mich jetzt erstmal ans Patchen

iGEL

[Dave]

Ich habe bei mir keine merkwürdigen prozesse. obwohl ich sagen muß das ich immer die aktuellste version nutze

[iGEL]

Moin!

Liegt wohl nicht am phpBB, sorry fpr eventuelle Panikmache. Ich hab nämlich schon wieder solche Prozesse und das phpBB läuft gerade gar nicht.

iGEL

[Dave]

Du solltest mal schauen wer den prozess startet

[iGEL]

Moin!

Ist wohl doch ein phpBB-Wurm. Ich habe den Wurm-Code gefunden in /tmp/.../apachelib.pl und mal hier hochgeladen: http://igels.net/apachelib.pl.tar - Vielleicht möchte ihn sich ja jemand anschauen, ich hab dazu gerade keine Zeit. Ich muss erstmal herausfinden, wie der Prozess sich neu startet, ohne dass ein phpBB läuft *rätsel* Auffällig ist ja, dass die jede Stunde um :53 gestartet wurden. Ein cron-Job läuft nicht.

iGEL

[Dave]

Schick das mal an Acyd Burn zu analyse. Würde ich so mal sagen

[Dave]

such mal nach einer datei "bash" oder "perlc" Das sind bestimmt die die du suchst.
hier sind sie

[iGEL]

Moin!

Ich weiß jetzt, wie der Wurm sich neu gestartet hat. Er hat ne /var/spool/cron/crontabs/www-data angelegt, wo offenbar auch gleich der Code Wurm-Code enthalten ist.

Gibts von Acyd Burn ne E-Mail-Adresse (z. B. per PN)?

iGEL

[Dave]

http://www.phpbb.de/profile.php?mode=viewprofile&u=567 << da
oder
http://www.phpbb.com/phpBB/profile.php? ... ile&u=2075 << da

[iGEL]

Moin!

Danke!

iGEL