<div class="gmail_quote">On Wed, Mar 2, 2011 at 10:33 AM, Paul Gray <span dir="ltr"><<a href="mailto:gray@cs.uni.edu">gray@cs.uni.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">On 03/02/2011 10:20 AM, L. V. Lammert wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
We had a web server (the only services exposed are a few web server &<br>
php, .. not even any ssl or sensitive data) go bonkers a few days ago,<br>
.. it appeared to be running some sort of attack code generating a<br>
humongous amount of outbound traffic on port 80 to a server in Romania.<br>
After finally getting a login I could find nothing unusual, and, upon<br>
rebooting, I could find not locate any trace of a login on the box nor<br>
any unusual changed files.<br>
<br>
Two questions:<br>
<br>
* Is it possible that the vector was a php attack that was memory<br>
resident (and cleared on reboot)?<br>
</blockquote>
<br></div>
It's likely that the attack vector was planted in a writeable directory, and that it's only a matter of time before an .ru IP address calls it up again.  Never trust a compromised system, reboots never fix the crux of the issue: how did they root the box in the first place?<br>


<br></blockquote><div><br></div><div>Or it was in /tmp and your system wipes that on reboot.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Take it offline and rebuild.<div class="im"><br></div></blockquote><div><br></div><div>Sad, but this is probably necessary.</div><div><br></div><div>At work our systems block all outgoing traffic on port 80 except whitelisted sites. It's annoying but it does help.</div>

</div><br>-- <br>Matthew Nuzum<br>newz2000 on freenode, skype, linkedin, <a href="http://identi.ca" target="_blank">identi.ca</a> and twitter<br><br>"An investment in knowledge pays the best interest." -Benjamin Franklin <br>

<br>