<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.E-mailStijl17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=NL link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Dont want to scare you but keep in mind that you now exported sites from a hacked machine<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>It is possible that the backdoorscript was installed on a site so them the script is now installed on the new machine<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>(it happend to me once)<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>So have a very close look at all your sites on this server<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Sort on install dates etc to see if something strange  is there<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If you can access the logs of the old machine then thats the best place to start<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Look at the apache and ftp logs to begin<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Good luck<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><br>Steffan<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-left:35.4pt'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>Van:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> blueonyx-bounces@blueonyx.it [mailto:blueonyx-bounces@blueonyx.it] <b>Namens </b>Peter Robbins<br><b>Verzonden:</b> zondag 12 december 2010 20:44<br><b>Aan:</b> BlueOnyx General Mailing List<br><b>Onderwerp:</b> [BlueOnyx:06091] Re: cant run any commands on one of our BlueOnyxboxes<o:p></o:p></span></p></div></div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p><div><p class=MsoNormal style='margin-left:35.4pt'>Yes you are both right.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>I have just finished the imports To the new vm machine<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>One should never under estimate the ingenuity of hackers and script kiddies<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>I speak from experience.  <o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:35.4pt'>We couldn't leave the machine as it was, in a perceived compromised position.  So in has been cmuExport'ed<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>I will look through the logs see If I can see a problem and then delete the original vm machine.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Thanks to all for your help!<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><br>Sent from my iPhone<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:35.4pt'><br>On 12 Dec 2010, at 19:03, "Chuck Tetlow" <<a href="mailto:chuck@tetlow.net">chuck@tetlow.net</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal style='margin-left:35.4pt'>I completely agree with Chris - the backdoor that was used to gain access in the first place may still be there.  Plus, any rootkits installed are still there.  THAT is a dangerous situation. <br><br>I'd recommend keeping that box off-line while you do cmuExports of all sites.  Build a new box and cumImport them all into that new box.  Before you import - make sure that the new box is fully up-to-date to minimize vulnerabilities.  <br><br>And after importing everything/getting it working - make a complete box backup before putting it back on line.  That way, you've got a emergency restore in case it happens again.  After all - the vulnerability/exploit may have been in something in one of those sites.  And as soon as you put it back on line - this could happen again. <br><br>I'd wait till after I got the box and sites back up - but you need to carefully check the logs to see if you can spot how this happened.  If not - you're just putting that rebuilt box out there and crossing your fingers that it doesn't happen again. <br><br><br><br>Chuck <br><br><span style='font-size:10.0pt'><br><b>---------- Original Message -----------</b> <br>From: Chris Gebhardt - VIRTBIZ Internet <<a href="mailto:cobaltfacts@virtbiz.com">cobaltfacts@virtbiz.com</a>> <br>To: BlueOnyx General Mailing List <<a href="mailto:blueonyx@blueonyx.it">blueonyx@blueonyx.it</a>> <br>Sent: Sun, 12 Dec 2010 12:48:10 -0600 <br>Subject: [BlueOnyx:06089] Re: cant run any commands on one of      our     BlueOnyxboxes <br><br>> Peter Robbins - Bridgewater Software Group wrote: <br>> > Not bad for 16 hours continuous work all through the night and next <br>> > day.  Iam off to bed now. <br>> <br>> So if I understand correctly, you loaded in a new /lib and /usr/lib onto <br>> the broken box (or virtual, as the case may be), then put it right back <br>> to work? <br>> <br>> If I haven't missed something that sounds fairly dangerous, especially <br>> if you've not located what caused the issue in the first place.  I hope <br>> you're not in for another round of this. <br>> <br>> -- <br>> Chris Gebhardt <br>> VIRTBIZ Internet Services <br>> Access, Web Hosting, Colocation, Dedicated <br>> <a href="http://www.virtbiz.com">www.virtbiz.com</a> | toll-free (866) 4 VIRTBIZ <br>> _______________________________________________ <br>> Blueonyx mailing list <br>> <a href="mailto:Blueonyx@blueonyx.it">Blueonyx@blueonyx.it</a> <br>> <a href="http://www.blueonyx.it/mailman/listinfo/blueonyx">http://www.blueonyx.it/mailman/listinfo/blueonyx</a> <br><b>------- End of Original Message -------</b> </span><o:p></o:p></p></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal style='margin-left:35.4pt'>_______________________________________________<br>Blueonyx mailing list<br><a href="mailto:Blueonyx@blueonyx.it">Blueonyx@blueonyx.it</a><br><a href="http://www.blueonyx.it/mailman/listinfo/blueonyx">http://www.blueonyx.it/mailman/listinfo/blueonyx</a><o:p></o:p></p></div></blockquote></div></body></html>