
Owned by apache in tmp?<br><br>Sounds like an insecure web app or injection attack.<br><br><div class="gmail_quote">2009/12/13 Thomas Dukes <span dir="ltr"><<a href="mailto:tdukes@sc.rr.com">tdukes@sc.rr.com</a>></span><br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="im"><br>

<br>

> -----Original Message-----<br>

> From: <a href="mailto:centos-bounces@centos.org">centos-bounces@centos.org</a><br>

</div><div class="im">> [mailto:<a href="mailto:centos-bounces@centos.org">centos-bounces@centos.org</a>] On Behalf Of Geerd-Dietger Hoffmann<br>

> Sent: Saturday, December 12, 2009 10:18 PM<br>

> To: CentOS mailing list<br>

> Subject: Re: [CentOS] Deleting contents of /tmp on shutdown<br>

><br>

</div><div><div></div><div class="h5">> On Sun, Dec 13, 2009 at 3:10 AM, Thomas Dukes<br>

> <<a href="mailto:tdukes@sc.rr.com">tdukes@sc.rr.com</a>> wrote:<br>

> >> > Today, I found <a href="http://upd.pl" target="_blank">upd.pl</a> in my tmp directory.  The date was<br>

> oct 09.  I<br>

> >> > also found my /etc/passwd and /etc/shadow had been changed<br>

> >> with a user<br>

> >> > of 0Profile added.  I deleted the old files and restored<br>

> those from<br>

> >> > backup.  I ran my chkrootkit and installed mod_security.<br>

> >> SSH is not<br>

> >> > running so I don't know how this happened.<br>

> >><br>

> >> Perhaps your system is not as simple as you think it is.  ;-/<br>

> >><br>

> >> --keith<br>

> ><br>

> ><br>

> > Thanks, Keith!<br>

> ><br>

> > Guess I'd better brush up on my vi commands in case I have to boot<br>

> > from a rescue disk. :-)<br>

><br>

> All you need is [Esc]q! :)<br>

><br>

> ><br>

> > Just guessing here, but to do this, I need to add:<br>

> ><br>

> > tmpfs /tmp tmpfs size=100M,mode=0755 0 0 To my /etc/fstb<br>

> and cross my<br>

> > fingers?<br>

><br>

> I would make it a little bigger as 100M depending on how much<br>

> memory you have. And the mode should be the same as /tmp<br>

> would normally be =><br>

> mode=777 :)<br>

<br>

</div></div>I have 1GB of RAM.  What would be a good size?<br>

<div class="im"><br>

><br>

> If you have been hacked, like it seams you have, you should<br>

> first find out how the guy got in. Do you have a webserver<br>

> running? Firewall enabled? Then just to be safe I would<br>

> always reinstall as you never know what he might have done.<br>

<br>

</div>The <a href="http://udp.pl" target="_blank">udp.pl</a> file was owned by apache.  Not sure that would matter.  I have no<br>

cluse as to how it got there.  The date on the file was oct 09 and those<br>

logs have already been rotated out.<br>

<div class="im"><br>

><br>

> Then you can modify the tmp in fstab<br>

><br>

> Cheers Didi<br>

<br>

</div>Running a full backup now.  When complete, I will make the changes to fstab.<br>

<br>

Thanks!!<br>

<div><div></div><div class="h5"><br>

_______________________________________________<br>

CentOS mailing list<br>

<a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>

<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>

</div></div></blockquote></div><br>