forum.lissyara.su

Добавлено: **2011-02-18 15:18:02**

Добрый день, уважаемые!

Во-первых, хочу извиниться, если написал не туда. Просто данный раздел мне показался наиболее подходящим к сути проблемы.

Итак. Есть веб сервер, на котром крутится два сайтика небольшого объема.
Периодически на нем запускается процесс Whois:

Код: Выделить всё

  PID USERNAME    THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
93066 www           1 118    0  3156K   956K CPU0    0   1:00 100.00% whois

Как видите, он выжирает все ресурсы сервера + вешает шлюз, т.е. в инет не выползти из-за, видимо, огромного количества запросов, которые создает этот whois, потому что карточка в шлюзе, смотрящая в сеть, работать отказывается - вот результаты пинга:

Код: Выделить всё

[root@mail /usr/bin]#  ping sentto: no buffer space available

Причем этот whois явно не тот whois, который лежит в /usr/bin/whois, а, судя по всему, фейковый. Хотя на этот я тоже сменил, на всякий, права:

Код: Выделить всё

[root@mail /usr/bin]# ls -la | grep whois
-r--------   1 root  wheel     10176 Mar 21  2010 whois

У пользователя www от которого стартует фейковый whois есть права только на использование директории, где лежат сайты.

Итак, вопрос сводится к следующему:

Как мне вылечиться от трояна:

Проблема в том в том, что я не знаю, как проверить каталоги с сайтами на вирусы

Вот в общем то такая проблема... буду очень рад помощи!

Добавлено: **2011-02-18 15:22:22**

Как мне вылечиться от трояна

ну выложите куда то на файло обменник этот якобы троян
а сами убейте его

а вы уврены что сайты вам нужно лечить?
может у вас дырявые они
и через какую то дыру толкают
а то может и вообще какойто то добрый пользователь который имеет доступ к серверу

Добавлено: **2011-02-18 15:32:24**

Гость писал(а): а сами убейте ега вы уврены что сайты вам нужно лечить?
может у вас дырявые они
и через какую то дыру толкают
а то может и вообще какойто то добрый пользователь который имеет доступ к серверу

даже более вероятно, что они дырявые... Лог ошибок апача полон сообщений такого содержания:

Код: Выделить всё

[Fri Feb 18 11:39:38 2011] [error] [client 67.195.114.56] File does not exist: /usr/local/www/site/htdocs/ru/catalog/bitrix/php_interface/ru/styles.c
[Fri Feb 18 11:39:38 2011] [error] [client 67.195.114.56] File does not exist: /usr/local/www/site/htdocs/404.php
[Fri Feb 18 11:40:30 2011] [error] [client 89.207.77.186] File does not exist: /usr/local/www/site/htdocs/ru/bitrix/php_interface/ru/styles.css
[Fri Feb 18 11:40:30 2011] [error] [client 89.207.77.186] File does not exist: /usr/local/www/site/htdocs/404.php

Код: Выделить всё

[Thu Feb 17 18:40:45 2011] [notice] child pid 71157 exit signal Segmentation fault (11)
[Thu Feb 17 18:55:22 2011] [notice] child pid 71327 exit signal Segmentation fault (11)
[Thu Feb 17 18:56:50 2011] [notice] child pid 71390 exit signal Segmentation fault (11)
[Thu Feb 17 19:21:59 2011] [notice] child pid 71921 exit signal Segmentation fault (11)

Гугл на это отвечает, что скорее всего есть проблема с расширениями пхп. Сейчас я поочередно их отключаю, - пока безрезультатно.

По поводу дырок могу добавить, что структура папок и настройка апача на новом месте была произведена в точном соответствии со старым сервером...

А по поводу пользователей - к каталогу с сайтом извне есть доступ у меня и у программиста. Свой комп я прочекал уже 4 утилитами, а вот про программиста забыл - пойду попинаю его...

Еще идеи есть?

Добавлено: **2011-02-18 15:49:28**

По поводу дырок могу добавить

ну и причем здесь структура папок ?
САЙТ может быть дыряв

Добавлено: **2011-02-18 15:53:40**

Гость писал(а):САЙТ может быть дыряв

Хмм... остановка апача, я так понимаю, ни на что не влияет...?

Добавлено: **2011-02-18 16:07:05**

почему же не повлияет?
повлияет, доступа к сайту не будет))

Добавлено: **2011-02-18 16:15:59**

я имел ввиду на проблему

Во всяком случае я стопал апач и whois все равно в up'e через какое то время...

Добавлено: **2011-02-18 16:24:36**

ну так найдите кто его апает и откуда)

Добавлено: **2011-03-01 19:51:35**

По-видимому сайт действительно дырявый...

Решить проблему не смог, как только следующим образом:

Апач начала стартовать от пользователя/группы nobody/nogroup.

Права на директорию, где лежит сайт сменил на левого пользователя.

Whois перестал стартовать, все в роке... Будем чекать код сайта...

forum.lissyara.su

Whois вешает сеть

Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть

Re: Whois вешает сеть