Apache mit eigenartigem Prozess

Dieses Thema im Forum "RedHat,Fedora & CentOS" wurde erstellt von chrigu99, 09.08.2009.

  1. #1 chrigu99, 09.08.2009
    Zuletzt bearbeitet: 09.08.2009
    chrigu99

    chrigu99 Grünschnabel

    Dabei seit:
    09.08.2009
    Beiträge:
    4
    Zustimmungen:
    0
    Guten Morgen

    Nachdem ich bemerkt habe, dass auf meinem Server eingebrochen wurde und entsprechende Scripts liefen, habe ich begonnen, diese Probleme zu beheben. Nun habe ich auch einen Rootkit-Check hinter mir. Einzig eines macht mir Sorgen:
    Unter dem User apache läuft immer wieder ein Prozess bash.
    Der Prozess:
    apache 7163 0.0 0.0 1980 876 ? Ss 10:22 0:00 bash
    Auch wenn ich den Prozess mit kill -9 <pid> kille, ist er nach einer Weile wieder da.
    Ist das normal oder etwas, um sich Sorgen zu machen?
    Google hat mir leider nichts verwertbares ausgespuckt.

    Infos zum Server: CentOS 5.3
    httpd -v
    Server version: Apache/2.2.3
    Server built: May 28 2009 12:49:04
    Installed Packages
    httpd.x86_64 2.2.3-22.el5.centos.1 installed

    Grüsse, Chris
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    So, ich hab den Übeltäter gefunden. Der User apache hatte einen Cronjob auf ein Script im versteckten Ordner /tmp/.dev

    Der Inhalt des Ordners:

    ls -la
    total 924
    drwxr-xr-x 3 apache apache 4096 Aug 9 10:32 .
    drwxrwxrwt 5 root root 4096 Aug 9 10:29 ..
    -rw-r--r-- 1 apache apache 79 Aug 9 10:10 <ipadresse1>.user
    -rw-r--r-- 1 apache apache 165 Aug 9 10:10 <ipadresse2>.user
    -rw-r--r-- 1 apache apache 162 Aug 9 10:10 91.184.2.214.user
    -rw-r--r-- 1 apache apache 79 Aug 9 10:10 91.184.2.215.user
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 Arhanghel.seen
    -rwxr-xr-x 1 apache apache 317 Oct 30 2006 autorun
    -rwxr-xr-x 1 apache apache 492135 Oct 30 2006 bash
    -rw-r--r-- 1 apache apache 145 Aug 9 10:30 Ch|na.seen
    -rw-r--r-- 1 apache apache 43 Aug 5 09:21 cron.d
    -rw-r--r-- 1 apache apache 39077 Aug 9 09:39 Fuller.seen
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 Hanssen.seen
    -rw-r--r-- 1 apache apache 9279 Aug 9 09:39 Hartmann.seen
    -rwxr-xr-x 1 apache apache 11422 Mar 6 03:02 inst
    -rwxr-xr-x 1 apache apache 120 Aug 9 10:28 LinkEvents
    -rw-r--r-- 1 apache apache 10 Aug 5 09:21 mech.dir
    -rwxr-xr-x 1 apache apache 22882 Oct 30 2006 m.help
    -rw-r--r-- 1 apache apache 1043 Aug 9 10:10 m.lev
    -rw------- 1 apache apache 5 Aug 9 10:27 m.pid
    -rw-r--r-- 1 apache apache 1509 Aug 9 10:10 m.ses
    -rw-r--r-- 1 apache apache 4385 Aug 5 09:21 m.set
    -rwxr-xr-x 1 apache apache 167964 Mar 16 2001 pico
    -rw-r--r-- 1 apache apache 84479 Feb 14 20:40 pico.tgz
    drwxr-xr-x 2 apache apache 4096 Sep 27 2007 r
    -rwxr-xr-x 1 apache apache 29 Oct 30 2006 run
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 ____.seen
    -rwxr-xr-x 1 apache apache 815 Oct 30 2006 start
    -rwxr--r-- 1 apache apache 157 Aug 5 09:21 update
    -rw-r--r-- 1 apache apache 0 Aug 9 09:39 Vandenberg.seen
    -rw-r--r-- 1 apache apache 28 Aug 5 09:21 vhosts

    <ipadresse1> und <ipadresse2> waren meine IPs, die hab ich jetzt mal entfernt.
    Sagt der Inhalt irgend jemand was?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 daboss, 09.08.2009
    Zuletzt bearbeitet: 09.08.2009
    daboss

    daboss Keine Macht für niemand!

    Dabei seit:
    05.01.2007
    Beiträge:
    1.294
    Zustimmungen:
    0
    Ort:
    sydney.australia.world
    Also, ich würde mich im Falle eines Einbruchs ja nicht lange mit irgendwelchen Reperaturmaßnhamen aufhalten, sondern das kaputte System (oder zumindest Logbücher und verdächtige Ordner/Dateien) sichern und ein neues Aufspielen, nach Möglichkeit mit mindestens einer Einbruchsmöglichkeit weniger...


    /OT: Oh, ich hab wohl meinen 1000. Post knapp verpasst^^
     
  4. #3 bitmuncher, 09.08.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Du solltest dich an den Tipp von daboss halten. Ein Server, auf dem erfolgreich Prozesse eingeschleust wurden, gehoert neu eingerichtet und dann anstaendig abgesichert. Die Wahrscheinlichkeit, dass du nicht alles bereinigen kannst, ist naemlich sehr hoch.
     
Thema:

Apache mit eigenartigem Prozess

Die Seite wird geladen...

Apache mit eigenartigem Prozess - Ähnliche Themen

  1. Update auf Apache >=2.4.12 unter Debian Jessie

    Update auf Apache >=2.4.12 unter Debian Jessie: Hi, aufgrund eines Bugs in Apache 2.4 benötige ich zum Deployment von Seafile unter Debian Jessie das Paket apache2 in der Version >= 2.4.12...
  2. Centos und Apache (VirtualHost)

    Centos und Apache (VirtualHost): Hallo, ich bin gerade dabei die Firmenseiten unserer Unternehmensgruppe neu zu gestalten. Insgesammt sind es 3 Unternehmen. Als Server wurde mir...
  3. Apache Software Foundation gibt sich neues Logo

    Apache Software Foundation gibt sich neues Logo: Die Apache Software Foundation hat ihr Webseitendesign überarbeitet und sich ein neues Logo gegeben. Die Organisation sieht sich mit über 350...
  4. Apache Log-Meldung File does not exist

    Apache Log-Meldung File does not exist: Hallo zusammen, in der Logdatei von Apache wird folgende Meldung ausgegeben: … [Thu Jan 07 14:36:03 2016] [error] [client 111.222.333.444] File...
  5. Apache 2.2 Domain u. Sub-Domain auf verschiedenen Ports

    Apache 2.2 Domain u. Sub-Domain auf verschiedenen Ports: Hallo miteinander! Ich knabbere gerade an folgendem Problem: ich möchte, dass Apache auf example.com ausschließlich auf Port 80 antwortet und...