OVH Community, your new community space.

Prozess upx


strex
13.11.13, 10:58
Zitat Zitat von sneaky
Na den Admin möchte ich kennenlernen, der automatisch Updates auf einem Server mit Kunden einspielen lässt. Je nachdem wie kritisch ein Fehler ist, sollte man ggf. sogar noch ein paar Tage warten, bevor man das Update einspielt, damit ggf. neue Bugs vorher von den Entwicklern erkannt werden, bevor die eigene Maschine abschmiert. Aber ja, ohne regelmäßige Updates geht es nicht.
Wenn man die Updates nicht sofort einspielen kann, dann muss man die Kiste vorerst von Netz nehmen bis ein Update eingespielt werden kann (außer es sind IPS Systeme und co. im Einsatz die den Angriffsvektor vorher filtern können). Denn heute kannst du dir schnell in den ersten Stunde etwas einfangen und dann kannst du der gesamten Kiste nicht mehr trauen. Da geht es um Stunden und nicht um Tage oder Wochen. Siehe des erst kürzlich veröffentlichten OpenSSH (6.3 + AES-GCM) Exploits mit Remote Code Injection..oder den Mengen an PHP und Webscript Exploits. Denn dafür reichen einfache Suchmaschine die nach bestimmten Typen sucht und das Ergebnis an ein Script weiter gibt das die Opfer dann automatisiert angreift. Aus diesem Grund gibt es auch Services wie Ksplice mit dem der Kernel gepatched werden kann ohne das ein Reboot fällig wird.

J-B
13.11.13, 10:34
Zitat Zitat von sneaky
Na den Admin möchte ich kennenlernen, der automatisch Updates auf einem Server mit Kunden einspielen lässt. Je nachdem wie kritisch ein Fehler ist, sollte man ggf. sogar noch ein paar Tage warten, bevor man das Update einspielt, damit ggf. neue Bugs vorher von den Entwicklern erkannt werden, bevor die eigene Maschine abschmiert. Aber ja, ohne regelmäßige Updates geht es nicht.
Strato, 1und1 ... machen dies bei Ihren Managed Servern.

sneaky
12.11.13, 18:06
Na den Admin möchte ich kennenlernen, der automatisch Updates auf einem Server mit Kunden einspielen lässt. Je nachdem wie kritisch ein Fehler ist, sollte man ggf. sogar noch ein paar Tage warten, bevor man das Update einspielt, damit ggf. neue Bugs vorher von den Entwicklern erkannt werden, bevor die eigene Maschine abschmiert. Aber ja, ohne regelmäßige Updates geht es nicht.

saber2003
12.11.13, 17:56
Zitat Zitat von KS16G
Thx, Felix.
Da sind wir uns allerdings einig, das alle Jahre updaten nicht reicht.
Ich bin ein verfechter des "Jeden Tag auf Updates prüfen und, wenn vorhanden, installieren."
Wem die Zeit fehlt, der kann das ja durch nen cronjob machen lassen, oder sich nen Managed-Server zulegen.
Wahre Worte....

KS16G
12.11.13, 13:48
Thx, Felix.
Da sind wir uns allerdings einig, das alle Jahre updaten nicht reicht.
Ich bin ein verfechter des "Jeden Tag auf Updates prüfen und, wenn vorhanden, installieren."
Wem die Zeit fehlt, der kann das ja durch nen cronjob machen lassen, oder sich nen Managed-Server zulegen.

Felix
12.11.13, 12:36
KS16G wrote:
> nur bei nicht regelmässig gepflegten / upgedateten Systemen möglich oder
> auch bei anderen?


Nein, selbst leute die ihr System nur einmal im Jahr updaten (Und wir sind uns
sicher darueber einig das das NICHT ausreicht) sollten nicht davon betroffen
sein: diese Lücke ist schon seit ueber eineinhalb Jahren gepatched :-/

http://cve.mitre.org/cgi-bin/cvename...=CVE-2012-1823

KS16G
12.11.13, 12:04
@Felix:
Rein Interesse halber: Ist dieser Hack-angriff /ausnutzung des Exploits nur bei nicht regelmässig gepflegten / upgedateten Systemen möglich oder auch bei anderen?
Ich selber nutze zwar den lighttpd, aber bin wissbegierig.

Felix
12.11.13, 11:28
N3o wrote:
> Nun ist alles wieder sauber, habe es hin bekommen und auch gleich


auch die crontab von www-data?

N3o
11.11.13, 21:42
Es war tatsächlich eine hack -attacke.
Nun ist alles wieder sauber, habe es hin bekommen und auch gleich besser abgesichert.

Danke für die Tips

Felix
11.11.13, 17:23
es kursieren momentan exploits von ungepatchten apache/php-Anwendungen, die genau solche Spuren hinterlassen. Weitere Symptome findest du im /tmp-Verzeichnis.

Ich empfehle dir dringendst die reinstallation eines aktuellen Systems, bevor unsere anti-hack mechanismen eine (mit sicherheit stattfindende) ausgehnde attacke erkennen.

Felix

J-B
08.11.13, 08:15
Ich glaube nichts gutes. Könnte ein torrent server sein.

Beobachte dein Traffic. Wenn der höher ist als normal, dann wurdest du gehackt und dein Server wird missbraucht.

N3o
07.11.13, 20:47
Hallo,

seit ein paar Tagen taucht bei einem meiner Server immer wieder der Prozess upxDSZZ0MCA1PN auf, der satte 100% CPU Last verursacht und sich nur durch ein kill beenden lässt.
Wofür ist der verantwortlich?

Ein reboot brachte bisher keine Besserung.