Seltsames Geschehen auf SuSE Server

Hallo Ihr alle!

Seit etwa 2 Wochen tun sich seltsame Dinge auf unserem SuSE Server, wie z.B. das Verschwinden des kompletten Apache Log-Verzeichnisses sowie auch der Datei Inetd. Vormals musste bereits eine neue Gruppe (gid 101) mit einem neuen User angelegt werden, weil Apache verständlicherweise nicht mit "root" starten wollte, was er auch vorher nicht tat.
Shell-Kommandos wie "ls" geben nur noch Unsinn auf dem Bildschirm aus, obwohl sich Dateien mit bspw. "vi" noch öffnen lassen und auch "cd" durchaus noch in das angegebene Verzeichnis wechselt, sofern vorhanden.

Da ich leider eher in der Win-Welt zu Hause bin, aber dummerweise in der 3-wöchigen Urlaubsabwesenheit des Admins dessen Vertretung stellen muss, möchte ich euch hier mal nach eurer Meinung zu den möglichen Ursachen und nach deren Behebung fragen.

THX im Voraus!

cu

nowonda
 
Hast du ein Update oder andere änderungen gemacht?
Welche Version von SuSE?
Hast du ueberhaupt schon einmal Updates gemacht?
Welche Dienste laufen? (apache,samba usw.)
Ist der Rechner vom Internet aus erreichbar (womöglich der router selber)?

mfg p2k
 
Normal hat SuSE schon Standard Gruppen eingerichtet unter dennen Dienste wie Apache, Squid usw. laufen.

Also warum eine neue Gruppe anlegen...

An Deiner Stelle würde ich folgendes tun :

Lösche diese 101 Gruppe und lass apache mit der Standard Gruppe laufen, nämlich apache.

Es gibt den Nutzer apache und die GRuppe apache, und mit dieser Kombi lässt Du auch Apache laufen ;)

Das mit dem Verschwinden der Logs würde ich mal auf einen Hacker bzw. einen Einbruch in euer System deuten. Denn selbst mit der falschen Gruppe lässt sich eine Log file nicht von mir nichts, dir nichts löschen!
 
Das OS ist SuSE 8.0 und ich persönlich habe da keine Updates vorgenommen, da das die Sache des Admins ist, der mir leider keinerlei Infos über mgl. Updates gab.
Als Services laufen Samba, HTTP, SMTP, SSH, DNS. Bis auf HTTP aber nur intern erreichbar, also der Apache dient hier als Webserver, auf dem unsere Internetseiten liegen. Gleichzeitig leitet der Rechner auch interne Anfragen an den Router weiter, dient also als Gateway.

Könnten denn solche Vorkommnisse evtl. auf die Einspielung eines Rootkits hindeuten?

cu

nowonda
 
Original von nowonda
Das OS ist SuSE 8.0 und ich persönlich habe da keine Updates vorgenommen, da das die Sache des Admins ist, der mir leider keinerlei Infos über mgl. Updates gab.

Waere es moeglich das dieser "Admin" die Aenderungen vorgenommen hat?
Sprich Ihn doch einmal direkt darauf an.

mfg p2k
 
Ich glaube, dass ist noch das 1.3.28 Release vom Apache.

Diese Änderungen hat der Admin nicht vorgenommen, denn als ich ihm die Sachlage schilderte, wollte er seinen Urlaub erstmal um 12 Monate verlängern ;)

Außerdem liegt für Ihn da auch kein Sinn drin, dass man sich als root nicht mal die Verzeichnisstruktur anzeigen lassen kann, sondern stattdessen nur Fehlermeldungen erscheinen.

Fschk habe ich da auch schon drüberlaufen lassen und das Limit für VFS ebenfalls schon erhöht.

Aber wie gesagt, ich bin in der Linux-Welt noch ein ziemlicher Newbie.

cu

nowonda
 
Linux neu aufspielen.

Zusaetze wie chkrootkit waeren nicht unempfehlenswert.

Backups einspielen.

mfg poiin2000 (dies waere mein Vorgehen. wie ihr es macht ist euere sache)
 
Das der Server neu aufgesetzt wird, habe ich mittlerweile bei der Geschäftsführung durchgesetzt.

Das mit chkrootkit ist auf jedenfall eine gute idee, die ich dann auch mal mit einbringen werde.

Danke euch erstmal,

nowonda
 
Zurück
Oben