lochkartenstanzer
04.09.2014, aktualisiert um 15:03:41 Uhr
view3767
view10
1
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Malware auf Linuxserver finden :-)

TippSicherheit Erkennung, Abwehr
Geht ganz einfach mit

sudo find / -name '.*ptabLe*'
und
ps -axu | awk '/\.IptabLe/ {print $2}'

Genauer gesagt:

Momentan sind große Botnetze mit linux-Servern aktiv. Siehe golem und heise.

Wer einen öffentlich erreichbaren Linux-server mit Struts und Tomcat betreibt, sollte die 2 Minuten opfern, um mal geschwind nachzuschauen (gerne auch die anderen).

lks

PS: Laut Golem kann es auch NAS-Systeme von Synology treffen. face-sad

PPS: Meine waren, wie erwartet, "sauber".
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 248293

Url: https://administrator.de/knowledge/malware-auf-linuxserver-finden-248293.html

Ausgedruckt am: 30.05.2025 um 20:05 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
marcola
marcola 08.09.2014 um 14:34:36 Uhr
Goto Top
Danke Dir für die Befehle! Bei mir kommt bei

ps -axu | awk '/\.IptabLe/ {print $2}'

folgende Fehlermeldung:

root@server ~ # ps -axu | awk '/\.IptabLe/ {print $2}'
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
9109
Lochkartenstanzer
Lochkartenstanzer 08.09.2014 aktualisiert um 14:41:00 Uhr
Goto Top
Zitat von @marcola:

Danke Dir für die Befehle! Bei mir kommt bei

Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Dann mag Dein ps kein "-". versuch mal

 ps aux | awk '/\.IptabLe/ {print $2}'

lks

PS: Achtung: Die Zeile liefert immer mindestens einen Treffer, weil sie auch den Prozess mti dem awk-befehl erfasst. daher sollte man das verifzizieren.
funnysandmann
funnysandmann 09.09.2014 um 11:38:21 Uhr
Goto Top
Hi,

wie sollte die Ausgabe denn aussehen, falls ein Server davon betroffen ist?

gruß
Lochkartenstanzer
Lochkartenstanzer 09.09.2014 um 12:35:12 Uhr
Goto Top
Zitat von @funnysandmann:

Hi,

wie sollte die Ausgabe denn aussehen, falls ein Server davon betroffen ist?


Im befehl mit find erhält man eine oder mehrere Dateinamen, die ptabLe im namen haben. Da muß man dann nachhaken.

Im Falls von ps ehgält man man eine oder mehrere prozess-IDs, die man sich dann anschauen sollte. statt awk kann man auch einfach ein "grep ptabLe" nehmen, das einem dann die ganze zeile zeigt.

lks
funnysandmann
funnysandmann 09.09.2014 um 13:07:46 Uhr
Goto Top
Danke dir.

Gruß
aqui
aqui 09.09.2014 aktualisiert um 17:48:42 Uhr
Goto Top
Im Falls von ps ehgält man man eine oder mehrere prozess-IDs, die man sich dann anschauen sollte.
Bei einer einzigen ID nicht, denn das ist der awk Prozess selber ! Sieht man auch wenn man das "ps" Kommando mehrfach hintereinander ausführt und die Prozess ID sich kontinuierlich nach oben ändert.
maretz
maretz 12.09.2014 um 22:21:37 Uhr
Goto Top
Moin,

ich gebe zu - für ne Sekunde hattest du mich... Befehl ausgeführt und mich schon gewundert das es ne PID zurückgibt... bis das Hirn durchgeschaltet hatte das es natürlich min. den einen Prozess gibt...

Danke für den Hinweis - bei sowas gucke ich auch gerne mal umsonst!

Gruß,

Mike
aqui
aqui 13.09.2014 um 10:30:11 Uhr
Goto Top
Ging mir auf den ersten Blick genau so... face-wink
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 um 10:54:51 Uhr
Goto Top
Zitat von @maretz:

ich gebe zu - für ne Sekunde hattest du mich... Befehl ausgeführt und mich schon gewundert das es ne PID
zurückgibt... bis das Hirn durchgeschaltet hatte das es natürlich min. den einen Prozess gibt...

Nunja, ein klein wenig aufrütteln ist ncie schlecht. face-smile

Ich gebe zu awk statt enfach grep zu nutzen war schon ein wenig gemein.

lks
Alchimedes
Alchimedes 02.10.2014 um 17:56:31 Uhr
Goto Top
Hallo ,

das Warning liegt an der unterschiedlichen Syntax von ps. Es gibt die BSD-Syntax und die Linux-Syntax.
Die Warnmeldung kann man also getrost ignorieren.
Siehe: man ps

Gruss
TippSicherheit Erkennung, Abwehr
Mehr von LochkartenstanzerLochkartenstanzerLöschung des Beitrages von Christian Enderle nicht notwendigLochkartenstanzer - 11 KommentareLochkartenstanzerDATEV-Einzel-Arbeitsplatz Upgrade von Windows 10 auf Windows 11 auf neuer HardwareLochkartenstanzer - 2 KommentareLochkartenstanzerDatev auf neue Hardware umziehenLochkartenstanzer - 17 KommentareLochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 38 Kommentare
Heiß diskutiert
kreuzbergerEin Geist im PC, Selbsteinschaltungkreuzberger - 35 Kommentarewusa88Ubuntu verschiedene Internetzugänge mit Wireguard, WLAN funktioniert, LAN nichtwusa88 - 34 KommentaremariociscoProblem Cisco 926 4P VoiP SnomD713 SIP eingehen ausgehend keine Telefonie und Uhrzeit Problemmariocisco - 27 KommentarejensgebkenÜberwachung von Bootenjensgebken - 27 KommentareDjDomXAlternativen zu Windows-Terminal-Server (RDS Session-Hosts)?DjDomX - 25 KommentareriegelerI226-V kein DHCP möglich: Es kann keine Verbindung mit dem DHCP-Server hergestellt werdenriegeler - 21 KommentarebloodstixSkript für Prozessorzugehörigkeitbloodstix - 21 KommentareMIST10Schrank für LaptopsMIST10 - 19 KommentareSpirit-of-EliGelöschte KommentareSpirit-of-Eli - 18 KommentarewinackerSuche Tintenstrahler bzw. Multifunktionsdrucker für eher seltene Nutzungwinacker - 17 Kommentarec0mhexHilfe bei Wireguard Config Handy zum PCc0mhex - 16 KommentareBlatthallerRDP Verbindung von Win11 zu WinXP HostBlatthaller - 12 KommentareMeandorAblaufplan für Besuch von StrafermittlungsbehördenMeandor - 11 Kommentare