Leider bringt es in diesem Fall kaum etwas das ganze der Polizei zu melden da der Angreifer bereits in mehreren Ländern (u.a DE) der Polizei gemeldet wurde ohne gefasst zu werden.
Die Serverlogs sind mit folgenden Einträgen überschwemmt:
Außerdem sind folgende Einträge interessant welche ebenfalls häufig
auftauchen:
Der Angreifer nutzt folgende Scripts um den Server anzugreifen:
(x.x.x.x = IP, xxx = Port)Quote:
@shellcmd ./talk x.x.x.x xxx xxx
-newmofo8- Child process spawned, PID=xxxxx
-wooof1- Child process spawned, PID=xxxxx
-IND0- Child process spawned, PID=xxxxx
-wooof2- Child process spawned, PID=xxxxx
-pig035- Child process spawned, PID=xxxxx
-TZI0- Child process spawned, PID=xxxxx
-Envo2- Child process spawned, PID=xxxxx
-k20- Child process spawned, PID=xxxxx
-s012- Child process spawned, PID=xxxxx
-INT-03- Child process spawned, PID=xxxxx
-newmofo7- Child process spawned, PID=xxxxx
-bangking- Child process spawned, PID=xxxxx
-ok03- Child process spawned, PID=xxxxx
-FR0002- Child process spawned, PID=xxxxx
-don000- Child process spawned, PID=xxxxx
-don001- Child process spawned, PID=xxxxx
-SPQR- Child process spawned, PID=xxxxx
Handelt es sich dabei um einen Exploit bei Ubuntu 12 LTS? Natürlich sind nur die wichtigsten Ports geöffnet und der Server selbst ist so gut wie möglich abgesichert.
Über Hilfe würde ich mich sehr freuen
