Whois вешает сеть

[mr. brightside]

Добрый день, уважаемые!

Во-первых, хочу извиниться, если написал не туда. Просто данный раздел мне показался наиболее подходящим к сути проблемы.

Итак. Есть веб сервер, на котром крутится два сайтика небольшого объема.
Периодически на нем запускается процесс Whois:

Код: Выделить всё

  PID USERNAME    THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
93066 www           1 118    0  3156K   956K CPU0    0   1:00 100.00% whois

Как видите, он выжирает все ресурсы сервера + вешает шлюз, т.е. в инет не выползти из-за, видимо, огромного количества запросов, которые создает этот whois, потому что карточка в шлюзе, смотрящая в сеть, работать отказывается - вот результаты пинга:

Код: Выделить всё

[root@mail /usr/bin]#  ping sentto: no buffer space available

Причем этот whois явно не тот whois, который лежит в /usr/bin/whois, а, судя по всему, фейковый. Хотя на этот я тоже сменил, на всякий, права:

Код: Выделить всё

[root@mail /usr/bin]# ls -la | grep whois
-r--------   1 root  wheel     10176 Mar 21  2010 whois

У пользователя www от которого стартует фейковый whois есть права только на использование директории, где лежат сайты.

Итак, вопрос сводится к следующему:

Как мне вылечиться от трояна:

Проблема в том в том, что я не знаю, как проверить каталоги с сайтами на вирусы Вот в общем то такая проблема... буду очень рад помощи!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

Как мне вылечиться от трояна

ну выложите куда то на файло обменник этот якобы троян
а сами убейте его

а вы уврены что сайты вам нужно лечить?
может у вас дырявые они
и через какую то дыру толкают
а то может и вообще какойто то добрый пользователь который имеет доступ к серверу

[mr. brightside]

а сами убейте ега вы уврены что сайты вам нужно лечить?
может у вас дырявые они
и через какую то дыру толкают
а то может и вообще какойто то добрый пользователь который имеет доступ к серверу

даже более вероятно, что они дырявые... Лог ошибок апача полон сообщений такого содержания:

Код: Выделить всё

[Fri Feb 18 11:39:38 2011] [error] [client 67.195.114.56] File does not exist: /usr/local/www/site/htdocs/ru/catalog/bitrix/php_interface/ru/styles.c
[Fri Feb 18 11:39:38 2011] [error] [client 67.195.114.56] File does not exist: /usr/local/www/site/htdocs/404.php
[Fri Feb 18 11:40:30 2011] [error] [client 89.207.77.186] File does not exist: /usr/local/www/site/htdocs/ru/bitrix/php_interface/ru/styles.css
[Fri Feb 18 11:40:30 2011] [error] [client 89.207.77.186] File does not exist: /usr/local/www/site/htdocs/404.php

Код: Выделить всё

[Thu Feb 17 18:40:45 2011] [notice] child pid 71157 exit signal Segmentation fault (11)
[Thu Feb 17 18:55:22 2011] [notice] child pid 71327 exit signal Segmentation fault (11)
[Thu Feb 17 18:56:50 2011] [notice] child pid 71390 exit signal Segmentation fault (11)
[Thu Feb 17 19:21:59 2011] [notice] child pid 71921 exit signal Segmentation fault (11)

Гугл на это отвечает, что скорее всего есть проблема с расширениями пхп. Сейчас я поочередно их отключаю, - пока безрезультатно.

По поводу дырок могу добавить, что структура папок и настройка апача на новом месте была произведена в точном соответствии со старым сервером...

А по поводу пользователей - к каталогу с сайтом извне есть доступ у меня и у программиста. Свой комп я прочекал уже 4 утилитами, а вот про программиста забыл - пойду попинаю его...

Еще идеи есть?

[Гость]

По поводу дырок могу добавить

ну и причем здесь структура папок ?
САЙТ может быть дыряв

[mr. brightside]

САЙТ может быть дыряв

Хмм... остановка апача, я так понимаю, ни на что не влияет...?

[Гость]

почему же не повлияет?
повлияет, доступа к сайту не будет))

[mr. brightside]

я имел ввиду на проблему

Во всяком случае я стопал апач и whois все равно в up'e через какое то время...

[Гость]

ну так найдите кто его апает и откуда)

[mr. brightside]

По-видимому сайт действительно дырявый...

Решить проблему не смог, как только следующим образом:

Апач начала стартовать от пользователя/группы nobody/nogroup.

Права на директорию, где лежит сайт сменил на левого пользователя.

Whois перестал стартовать, все в роке... Будем чекать код сайта...