Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
100matolog
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2008-05-30 12:11:16
- Откуда: kiev
-
Контактная информация:
Непрочитанное сообщение
100matolog » 2011-08-16 9:37:37
Арендую два сервера
На проблемном стоит
Код: Выделить всё
uname -a
FreeBSD vo27.3-RELEASE FreeBSD 7.3-RELEASE #0: Tue Jan 18 15:51:38 EET 2011 maxim@vo2:/usr/obj/usr/src/sys/VO2 amd64
на втором
Код: Выделить всё
uname -a
FreeBSD vo1 7.3-RELEASE FreeBSD 7.3-RELEASE #1: Wed Jan 19 16:40:34 EET 2011 root@vo1:/usr/obj/usr/src/sys/VO1 amd64
заинтересовало наличие непонятных процессов
Код: Выделить всё
[root@vo2 ~]# ps ax | grep perl
7005 ?? S 7:46.28 /sbin/syslogd (perl5.10.1)
7006 ?? S 3:24.06 /sbin/klogd -c 1 -x -x (perl5.10.1)
9055 ?? S 9:52.79 /sbin/syslogd (perl5.10.1)
10398 ?? S 2:28.99 /usr/sbin/httpd (perl5.10.1)
10399 ?? S 2:29.44 /usr/sbin/httpd (perl5.10.1)
12936 ?? S 7:23.21 /usr/sbin/cron (perl5.10.1)
12950 ?? S 9:54.71 /sbin/klogd -c 1 -x -x (perl5.10.1)
35843 ?? S 2:29.20 /usr/sbin/httpd (perl5.10.1)
35845 ?? S 4:22.34 /usr/sbin/httpd (perl5.10.1)
45736 ?? I 0:00.00 /sbin/klogd -c 1 -x -x (perl5.10.1)
45739 ?? S 1:45.05 inetd (perl5.10.1)
65242 ?? S 1:22.75 /sbin/klogd -c 1 -x -x (perl5.10.1)
65243 ?? S 1:11.65 [eth0] (perl5.10.1)
65533 ?? S 1:58.41 /usr/sbin/httpd (perl5.10.1)
65604 ?? S 4:07.16 /usr/sbin/cron (perl5.10.1)
65605 ?? S 4:06.50 /usr/sbin/acpid (perl5.10.1)
72222 ?? S 15:08.02 /sbin/klogd -c 1 -x -x (perl5.10.1)
87757 ?? S 0:45.63 /usr/sbin/httpd (perl5.10.1)
90768 ?? S 10:36.19 [eth0] (perl5.10.1)
90769 ?? S 3:05.17 /usr/local/apache/bin/httpd -DSSL (perl5.10.1)
98914 p1 S+ 0:00.00 grep perl
На втором сервере такого нет.
Что могло породить такие процессы?
Последний раз редактировалось
f_andrey 2011-08-16 13:51:24, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
100matolog
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
ev
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Непрочитанное сообщение
ev » 2011-08-16 12:12:13
это значит что перловый скрипт меняет себе имя для маскировки
т.е. с большой вероятностью сервак ломанули
ev
-
100matolog
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2008-05-30 12:11:16
- Откуда: kiev
-
Контактная информация:
Непрочитанное сообщение
100matolog » 2011-08-16 12:13:34
ev писал(а):это значит что перловый скрипт меняет себе имя для маскировки
т.е. с большой вероятностью сервак ломанули
как прибить?
100matolog
-
ev
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Непрочитанное сообщение
ev » 2011-08-16 12:50:10
как прибить?
kill -9
дальше
1. найти файлы и убить
2. найти как они запускаются (скрипты загрузки, крон и т.д. и т.п.)
3. найти через какую дыру лезут
ev
-
100matolog
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2008-05-30 12:11:16
- Откуда: kiev
-
Контактная информация:
Непрочитанное сообщение
100matolog » 2011-08-16 12:56:56
ev писал(а):как прибить?
kill -9
дальше
1. найти файлы и убить
2. найти как они запускаются (скрипты загрузки, крон и т.д. и т.п.)
3. найти через какую дыру лезут
смотрю уже в сторону
http://www.chkrootkit.org
100matolog