[Eisfair] Hilfe bei Entfernung von Malware benötigt: (kdevtmpfsi)

[Holger Bruenjes]

Am 08/10/2021 um 14.20 schrieb Marcus Röckrath:
> Holger Bruenjes wrote:
> 
>> ich weiss jetzt nicht was bei dir im log steht, hate er Erfolg mit
>> seinen Kommandos gehabt oder lief das auf noch found raus
> 
> Hast du beispielhafte Einträge aus den Apache-Logs parat?


chattr: Permission denied while setting flags on /var/spool/cron: 
/bin/sh

chattr: No such file or directory while trying to stat /etc/crontab: 
/bin/sh


das faellt schon auf


...160705 2021] [cgi:error] [pid 16654:tid 140423632692800] [client 
195.19.192.26:39590] AH01215: 2021-10-06 22:47:21  INFO listing 
wwwrun's fcrontab: /bin/sh

...185576 2021] [cgi:error] [pid 16654:tid 140423632692800] [client 
195.19.192.26:39590] AH01215: 2021-10-06 22:47:21  INFO installing 
file /tmp/fcr-GXkZXc for user wwwrun: /bin/sh

...usw ...

in messages hast du auch die fcron Aufrufe im Minutentakt


Holger