Dubioser Prozess wird immer wieder gestartet

[worel]

Hallo!

Ich habe ein "kleines" Problem. Eine Kiste wurde mal mit einem Rootkit infiziert. Säuberung wurde soweit es ging gemacht, neu aufsetzen ließ der Kunde leider nicht zu... Naja.

Jedenfalls hab ich noch immer einen Prozess laufen, welcher sehr verdächtig ist:

Code: Alles auswählen

 ps aux | grep apache
confixx   8281  0.0  0.0   2072   552 ?        S    Oct17   0:00 /usr/local/apache/bin/httpd -DSSL                                                                                                                                                                                                                        ? JaM5
root      8298  0.0  0.4  27192 13012 ?        Ss   Oct17   0:00 /usr/sbin/apache2 -k start
www-data  8300  0.0  0.2  24312  7672 ?        S    Oct17   0:00 /usr/sbin/apache2 -k start
www-data  8423  0.0  1.3 278888 41924 ?        Sl   Oct17   0:26 /usr/sbin/apache2 -k start
www-data  8552  0.0  1.2 273968 37748 ?        Sl   Oct17   0:27 /usr/sbin/apache2 -k start
www-data 24765  0.0  1.1 272348 36268 ?        Sl   Oct17   0:26 /usr/sbin/apache2 -k start
root     19189  0.0  0.0   3720   724 ttyp0    S+   08:20   0:00 grep apache

Wenn ich den Prozess (in diesem Fall 8281) mit kill -9 abschieße ist er weg, nach 5 Sekunden mit einer neuen pid wieder da! Was startet dieses Mistding immer wieder?

Interessant ist auch, dass es das Verzeichnis /usr/local/apache gar nicht gibt. Zumindest komme ich mit "cd" nicht hin!
Ich werd mal sehen ob ich das Ding finde wenn ich mit einer Bootcd hochfahre.
Aber generell, wie finde ich am Besten heraus durch wen oder was Prozesse WIEDER gestartet werden, nachdem Sie gekillt wurden.

[TRex]

mit pstree müsstest du das rausfinden ... aber einem mit einem rootkit infizierten Rechner würde ich nicht mehr vertrauen.

Sind die binaries noch alle die Originalversionen? (Austausch?)

Notlösung: kopier /etc in ein neues (identisches) System.

[Ogion]

Bist du dir denn sicher, dass der httpd ein 'dubioser Prozess' ist? Ich meine, ist das nicht einfach ein mit dem apache zusammenhängender demon?

Ogion

[Spasswolf]

Kann das sein, dass das der apache für das confixx Webinterface ist?

[nil]

Häng Dich doch mal mit "strace" an den Prozess dran und schaue was passiert. Auch kann man schön mit "lsof" sehen, welche Bibliotheken und Programme von dem Prozess genutzt werden. Im Zweifelsfall die betroffenen Bibliotheken bzw. Pakete neu installieren.

[novalix]

Kann das sein, dass das der apache für das confixx Webinterface ist?

Iirc ist es genau das.
Ausserdem hat confixx auch nen cronjob, der alle paar Minuten überprüft, ob das Teil läuft und ggf. neu startet.
Überprüfen kann ich das allerdings nicht. Das einzige, was ich bisher mit confixx gemacht habe, ist es zu deinstallieren.

ciao, niels

[abi]

Hallo!

Ich habe ein "kleines" Problem. Eine Kiste wurde mal mit einem Rootkit infiziert. Säuberung wurde soweit es ging gemacht, neu aufsetzen ließ der Kunde leider nicht zu... Naja.

davon abgesehen dass es grob fahrlässig ist einen derart kompromittierten Server
weiterhin am Netz zu betreiben, würde ich brennend gerne wissen was den Kunden
dazu veranlasst eine neuinstallation nicht in erwägung zu ziehen.

Ist ja auch durchaus im Rahmen der Möglichkeit durch das betreiben
einer solchen Kiste schnell ins Rampenlicht von BKA und co zu gelangen, sollte
die Maschine z.B. zum Austausch von Warez oder noch schlimmer, Kinderpornographie
missbraucht werden (nicht nur der Kunde, auch Du als Betreiber).

Abgesehen von eventuellen Kosten der durch Traffic verursacht werden könnte.

Ein entfernen des rootkits ist zwar schön, aber wurde auch die Ursache für den
Einbruch eingedämmt? Meiner Meinung nach nur eine Frage der Zeit bis das Ding
erneut eingenommen wird.

Ich würde das Risiko auf einmal Fahnder vor meiner Türe zu stehen haben jedenfalls
nicht aufgrund eines Inkompetenten Kunden auf mich nehmen.

[storm]

Da kann ich mich abi nur anschliessen. Ihr/du solltest sowas Leuten überlassen, die das können! Und damit mein ich nicht nur die Behebung des Schadens.

ciao, storm

[worel]

Zum Glück bin ich nicht haftbar für die Kiste.

Mein ehemaliger Chef (ex firma) betreut die Dose noch immer so wie sie steht, die haben nicht wirklich ein Gefühl für den potentiellen Schaden... Hi und da werd ich gefragt wenn ein Feature wieder mal nicht funktioniert. Meine Bedenken bezüglich dem Rootkit werden nicht erhört ("neu aufsetzen zahlt ja keiner" pff)

Werd einfach mal dem Ding mit den oben genannten Tools auf den Zahn fühlen.

Confixx Prozess ist es meiner Meinung nach keiner...

Danke soweit!