Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Malware auf Linuxserver finden :-)

Mitglied: Lochkartenstanzer

Lochkartenstanzer (Level 5) - Jetzt verbinden

04.09.2014, aktualisiert 15:03 Uhr, 2893 Aufrufe, 10 Kommentare, 1 Danke

Geht ganz einfach mit

sudo find / -name '.*ptabLe*' 
und
ps -axu | awk '/\.IptabLe/ {print $2}' 
Genauer gesagt:

Momentan sind große Botnetze mit linux-Servern aktiv. Siehe golem und heise.

Wer einen öffentlich erreichbaren Linux-server mit Struts und Tomcat betreibt, sollte die 2 Minuten opfern, um mal geschwind nachzuschauen (gerne auch die anderen).

lks

PS: Laut Golem kann es auch NAS-Systeme von Synology treffen.

PPS: Meine waren, wie erwartet, "sauber".
Mitglied: marcola
08.09.2014 um 14:34 Uhr
Danke Dir für die Befehle! Bei mir kommt bei

ps -axu | awk '/\.IptabLe/ {print $2}'

folgende Fehlermeldung:

root@server ~ # ps -axu | awk '/\.IptabLe/ {print $2}'
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
9109
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2014, aktualisiert um 14:41 Uhr
Zitat von marcola:

Danke Dir für die Befehle! Bei mir kommt bei

Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Dann mag Dein ps kein "-". versuch mal

 ps aux | awk '/\.IptabLe/ {print $2}' 
lks

PS: Achtung: Die Zeile liefert immer mindestens einen Treffer, weil sie auch den Prozess mti dem awk-befehl erfasst. daher sollte man das verifzizieren.
Bitte warten ..
Mitglied: funnysandmann
09.09.2014 um 11:38 Uhr
Hi,

wie sollte die Ausgabe denn aussehen, falls ein Server davon betroffen ist?

gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
09.09.2014 um 12:35 Uhr
Zitat von funnysandmann:

Hi,

wie sollte die Ausgabe denn aussehen, falls ein Server davon betroffen ist?


Im befehl mit find erhält man eine oder mehrere Dateinamen, die ptabLe im namen haben. Da muß man dann nachhaken.

Im Falls von ps ehgält man man eine oder mehrere prozess-IDs, die man sich dann anschauen sollte. statt awk kann man auch einfach ein "grep ptabLe" nehmen, das einem dann die ganze zeile zeigt.

lks
Bitte warten ..
Mitglied: funnysandmann
09.09.2014 um 13:07 Uhr
Danke dir.

Gruß
Bitte warten ..
Mitglied: aqui
09.09.2014, aktualisiert um 17:48 Uhr
Im Falls von ps ehgält man man eine oder mehrere prozess-IDs, die man sich dann anschauen sollte.
Bei einer einzigen ID nicht, denn das ist der awk Prozess selber ! Sieht man auch wenn man das "ps" Kommando mehrfach hintereinander ausführt und die Prozess ID sich kontinuierlich nach oben ändert.
Bitte warten ..
Mitglied: maretz
12.09.2014 um 22:21 Uhr
Moin,

ich gebe zu - für ne Sekunde hattest du mich... Befehl ausgeführt und mich schon gewundert das es ne PID zurückgibt... bis das Hirn durchgeschaltet hatte das es natürlich min. den einen Prozess gibt...

Danke für den Hinweis - bei sowas gucke ich auch gerne mal umsonst!

Gruß,

Mike
Bitte warten ..
Mitglied: aqui
13.09.2014 um 10:30 Uhr
Ging mir auf den ersten Blick genau so...
Bitte warten ..
Mitglied: Lochkartenstanzer
13.09.2014 um 10:54 Uhr
Zitat von maretz:

ich gebe zu - für ne Sekunde hattest du mich... Befehl ausgeführt und mich schon gewundert das es ne PID
zurückgibt... bis das Hirn durchgeschaltet hatte das es natürlich min. den einen Prozess gibt...

Nunja, ein klein wenig aufrütteln ist ncie schlecht.

Ich gebe zu awk statt enfach grep zu nutzen war schon ein wenig gemein.

lks
Bitte warten ..
Mitglied: Alchimedes
02.10.2014 um 17:56 Uhr
Hallo ,

das Warning liegt an der unterschiedlichen Syntax von ps. Es gibt die BSD-Syntax und die Linux-Syntax.
Die Warnmeldung kann man also getrost ignorieren.
Siehe: man ps

Gruss
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools

Wenn das eine Schlangenöl das andere als Malware beschimpft

Erfahrungsbericht von LochkartenstanzerSicherheits-Tools10 Kommentare

Heute auf einem Andoid Tablet sind sich zwei Schlangenöle offensichtlich begegnet, von denen der eine den anderen nicht leiden ...

Utilities

CCleaner 5.33 mit Malware infiziert

Information von SeaStormUtilities43 Kommentare

Alle CCleaner user sollten sich langsam mal über (ordentliche) alternativen Gedanken machen :) -> TLDR: Offenbar aus dem internen ...

Multimedia & Zubehör

Malware kann Kopfhörer zur Abhörwanze machen

Information von YannoschMultimedia & Zubehör8 Kommentare

Schon der Wahnsinn. OT: Wo ist denn die Funktion um Links zu teilen geblieben? Unter "Hinzufügen" finde ich das ...

Viren und Trojaner

FinFisher: Internetprovider schieben Spitzelopfern Malware unter

Information von kaiand1Viren und Trojaner2 Kommentare

Heise-> FinFisher: Internetprovider schieben Spitzelopfern Malware unter Da wird aber Aufwand Betrieben für

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 5 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 8 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...