Hallo!

Wir haben in unserem kleinen Rechenzentrum einen Server (LAMP) stehen, der immer wieder von irgendwelchen Kids geknackt wird.
Woran merkst Du das? Welche Dienst laufen auf dem Server? Geben die Logs dieser Dienste keinerlei Hinweise? Vor allem wenn Du das zeitlich eingrenzen kannst! Hast Du den Server mal von außen gescannt, welche Ports alle offen sind? Ist das richtig so?

Ja, das passt IMHO alles. Standardmäßig ist nur port 80, 23, POP3, SMTP und MySQL offen. Die Logs lassen leider auf nichts schließen. Schon gar nicht das des Webservers. Den alle virtuellen Hosts haben ein eigenes Logfile welche ich auf die schnelle mal durchgegrept habe. Aber nach was suchen?

Kernel, PHP, etc ist alles auf dem aktuellsten Stand.

Der Angreifer hatte nur die Rechte des www-Users und konnte somit nur auf das TMP-Servzeichnis zugreifen.

Was machst Du nachdem Du einen Einbruch bemerkt hast? Das System komplett neu aufgesetzt?

Es reichte die Prozesse per "kill -9 Prozessnummer" zu killen und das Tmp-Verzeichnis zu leeren. Danach war die Auslastung wieder OK und der Server läuft seit 2 Tagen wieder stabil.

Bei einer Attacke werden im TMP-Verzeichnis mit den Benutzerrechten des Webserver-Users (www) Dateien abgelegt entpackt(!)
Das siehst Du also. Und zu der Zeit, wo das passiert gibt es keine verdächtigen Einträge im access_log des Webservers? Ein Versuch ist es in jedem Fall wert.

Das ist ja das schlimme. Was ist "verdächtig"? Ich konnte leider nichts finden. Meine Vermutung geht zwar immer noch in Richtung phpBB, da da auch einige Kunden noch eine ältere Version haben, ist aber eben nur eine Vermutung... :(

Wenn das alles immer wieder passiert, könntest Du auch mal die Lofiles auf einen anderen Server schreiben lassen, damit der Angreifer diese nicht so einfach manipulieren kann

Wäre eine alternative. Werde ich mal in Angriff nehmen.

und ein zweiter Webserver gestartet.
woraus schließt Du das?

Muss ja kein Webserver sein. Der Prozess hieß eben "httpd -DSSL". Sämtliche Webserverprozessen heißen bei dem Server "httpd".

Nun ist hier die Frage nicht, was man damit anrichten kann, sondern wie ich das verhindern kann.
Erstmal musst Du genau wissen was passiert. Du sagst zu Christian der "2." Webserver wäre unter Port 80.

Sorry, war nur eine Annahme. Habe das ehrlich gesagt nicht getestet. Die Hektik war wieder mal zu groß, um alles aus zu kundschaften...

Wie genau unterscheidet sich denn das was Du beim 2. Webserver siehst, von Deinem eigentlichen Webserver? Ich meine jetzt nicht in Deiner Erinnerung, sondern tatsächlich, wenn Du z.B. das System neu aufsetzt, den Webserver startest, aber noch keine Online-Verbindung hast. Nicht dass das ganze auch ohne Online-Verbindung passiert :)

Lol, nee. Der Server is schon am Netz. Und bisher hab ich das auch alles mit meiner ssh-Verbindung bewältigen können.

Danke für die Fragestellung und Zeit, die Ihr Euch genommen habt. Sowas hilft meist schon weiter!