bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Shellshock-Schaedling

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Shellshock-Schaedling
From: heumann <heumann@xxxxxxxx>
Date: Wed, 14 Jan 2015 18:00:47 +0100
Hallo Helmut,

"top" zeigt (evtl. nach ein wenig Warterei) rechts einige Prozess mit
dem Namen "perl" an, gelegentlich auch mit "q" oder "b". Besitzer (wird
links angezeigt) ist "wwwrun".
Hatte ich in den Weihnachtsferien, der Server läuft für unsere Internatsschüler durch. Er hatte viel zu tun, deshalb wurde ich aufmerksam. Die /var war randvoll, die übliche Prozedur, den cache von squid neu aufzubauen bracht kaum Platz. Nach langem Suche fand ich das Problem: die /log/proxy war voll, die hatte ich drei Jahre nicht gelöscht, in den Ferien reichten 2 Tage!!!
Voraussetzung dafür ist, dass Arktur von draussen per Browser erreichbar
und sichtbar ist. Wer den Zugang von draussen nicht erlaubt hat, der
sollte mit diesem Schädling kein Problem haben.
Ist bei uns so, darauf möchte ich aus Kontrollzwecken auch nicht verzichten



Schnelle Abhilfe:

1.              /etc/init.d/apache stop
2. (mehrfach)   killall -9 perl
    bis "no process found" gemeldet wird.

Hat heute gemeldet:
Abgebrochen, kein Prozess gefunden

Heißt das, dass bei sich uns nichts eingenistet hat oder gibt es da Schläfer?





Zugang von draussen sperren, aber lokales Surfen erlauben: in

         /home/www/.htaccess

die Zeilen
         require valid-user
         satisfy Any

ausblenden (wird sofort wirksam).
Möchte ich aber nicht darauf verzichten (s.o.): Reicht es, den apache immer lahmzulegen und im Bedarfsfall über putty zu aktivieren?


Viele Grüße
Günter





_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 14.01.2015