Apache mit eigenartigem Prozess

Diskutiere Apache mit eigenartigem Prozess im RedHat,Fedora & CentOS Forum im Bereich Linux Distributionen; Guten Morgen Nachdem ich bemerkt habe, dass auf meinem Server eingebrochen wurde und entsprechende Scripts liefen, habe ich begonnen, diese...

  1. #1 chrigu99, 09.08.2009
    Zuletzt bearbeitet: 09.08.2009
    chrigu99

    chrigu99 Grünschnabel

    Dabei seit:
    09.08.2009
    Beiträge:
    4
    Zustimmungen:
    0
    Guten Morgen

    Nachdem ich bemerkt habe, dass auf meinem Server eingebrochen wurde und entsprechende Scripts liefen, habe ich begonnen, diese Probleme zu beheben. Nun habe ich auch einen Rootkit-Check hinter mir. Einzig eines macht mir Sorgen:
    Unter dem User apache läuft immer wieder ein Prozess bash.
    Der Prozess:
    apache 7163 0.0 0.0 1980 876 ? Ss 10:22 0:00 bash
    Auch wenn ich den Prozess mit kill -9 <pid> kille, ist er nach einer Weile wieder da.
    Ist das normal oder etwas, um sich Sorgen zu machen?
    Google hat mir leider nichts verwertbares ausgespuckt.

    Infos zum Server: CentOS 5.3
    httpd -v
    Server version: Apache/2.2.3
    Server built: May 28 2009 12:49:04
    Installed Packages
    httpd.x86_64 2.2.3-22.el5.centos.1 installed

    Grüsse, Chris
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    So, ich hab den Übeltäter gefunden. Der User apache hatte einen Cronjob auf ein Script im versteckten Ordner /tmp/.dev

    Der Inhalt des Ordners:

    ls -la
    total 924
    drwxr-xr-x 3 apache apache 4096 Aug 9 10:32 .
    drwxrwxrwt 5 root root 4096 Aug 9 10:29 ..
    -rw-r--r-- 1 apache apache 79 Aug 9 10:10 <ipadresse1>.user
    -rw-r--r-- 1 apache apache 165 Aug 9 10:10 <ipadresse2>.user
    -rw-r--r-- 1 apache apache 162 Aug 9 10:10 91.184.2.214.user
    -rw-r--r-- 1 apache apache 79 Aug 9 10:10 91.184.2.215.user
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 Arhanghel.seen
    -rwxr-xr-x 1 apache apache 317 Oct 30 2006 autorun
    -rwxr-xr-x 1 apache apache 492135 Oct 30 2006 bash
    -rw-r--r-- 1 apache apache 145 Aug 9 10:30 Ch|na.seen
    -rw-r--r-- 1 apache apache 43 Aug 5 09:21 cron.d
    -rw-r--r-- 1 apache apache 39077 Aug 9 09:39 Fuller.seen
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 Hanssen.seen
    -rw-r--r-- 1 apache apache 9279 Aug 9 09:39 Hartmann.seen
    -rwxr-xr-x 1 apache apache 11422 Mar 6 03:02 inst
    -rwxr-xr-x 1 apache apache 120 Aug 9 10:28 LinkEvents
    -rw-r--r-- 1 apache apache 10 Aug 5 09:21 mech.dir
    -rwxr-xr-x 1 apache apache 22882 Oct 30 2006 m.help
    -rw-r--r-- 1 apache apache 1043 Aug 9 10:10 m.lev
    -rw------- 1 apache apache 5 Aug 9 10:27 m.pid
    -rw-r--r-- 1 apache apache 1509 Aug 9 10:10 m.ses
    -rw-r--r-- 1 apache apache 4385 Aug 5 09:21 m.set
    -rwxr-xr-x 1 apache apache 167964 Mar 16 2001 pico
    -rw-r--r-- 1 apache apache 84479 Feb 14 20:40 pico.tgz
    drwxr-xr-x 2 apache apache 4096 Sep 27 2007 r
    -rwxr-xr-x 1 apache apache 29 Oct 30 2006 run
    -rw-r--r-- 1 apache apache 0 Aug 9 10:10 ____.seen
    -rwxr-xr-x 1 apache apache 815 Oct 30 2006 start
    -rwxr--r-- 1 apache apache 157 Aug 5 09:21 update
    -rw-r--r-- 1 apache apache 0 Aug 9 09:39 Vandenberg.seen
    -rw-r--r-- 1 apache apache 28 Aug 5 09:21 vhosts

    <ipadresse1> und <ipadresse2> waren meine IPs, die hab ich jetzt mal entfernt.
    Sagt der Inhalt irgend jemand was?
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 daboss, 09.08.2009
    Zuletzt bearbeitet: 09.08.2009
    daboss

    daboss Kaiser

    Dabei seit:
    05.01.2007
    Beiträge:
    1.297
    Zustimmungen:
    0
    Ort:
    bavaria.germany.europe.world
    Also, ich würde mich im Falle eines Einbruchs ja nicht lange mit irgendwelchen Reperaturmaßnhamen aufhalten, sondern das kaputte System (oder zumindest Logbücher und verdächtige Ordner/Dateien) sichern und ein neues Aufspielen, nach Möglichkeit mit mindestens einer Einbruchsmöglichkeit weniger...


    /OT: Oh, ich hab wohl meinen 1000. Post knapp verpasst^^
     
  4. #3 bitmuncher, 09.08.2009
    bitmuncher

    bitmuncher Foren Gott

    Dabei seit:
    08.05.2007
    Beiträge:
    3.180
    Zustimmungen:
    3
    Du solltest dich an den Tipp von daboss halten. Ein Server, auf dem erfolgreich Prozesse eingeschleust wurden, gehoert neu eingerichtet und dann anstaendig abgesichert. Die Wahrscheinlichkeit, dass du nicht alles bereinigen kannst, ist naemlich sehr hoch.
     
Thema:

Apache mit eigenartigem Prozess

Die Seite wird geladen...

Apache mit eigenartigem Prozess - Ähnliche Themen

  1. Sicherheitsbericht 2019 der Apache Software Foundation

    Sicherheitsbericht 2019 der Apache Software Foundation: Die Apache Software Foundation hat ihren Bericht über die im Jahr 2019 bearbeiteten Sicherheitsprobleme in ihren Projekten veröffentlicht. Der...
  2. Apache Software Foundation befragt die Gemeinschaft

    Apache Software Foundation befragt die Gemeinschaft: Die Apache Software Foundation hat erstmals seit 2016 eine Umfrage aufgelegt, um mehr über die Gemeinschaft rund um die Stiftung zu erfahren....
  3. Singa wird Toplevel-Projekt der Apache Software Foundation

    Singa wird Toplevel-Projekt der Apache Software Foundation: Das Projekt Singa hat den Status eines Toplevel-Projekts bei Apache erhalten. Singa ist eine sehr effiziente verteilte Bibliothek für maschinelles...
  4. Apache HTTP Server startet nicht

    Apache HTTP Server startet nicht: Hallo, ich habe ein Problem bezüglich Apache auf meinem CentOS 7. Es möchte einfach nicht starten. Hier ein Auszug aus meiner Shell:...
  5. Apache Software Foundation gibt Jahresbericht für das Fiskaljahr 2019 heraus

    Apache Software Foundation gibt Jahresbericht für das Fiskaljahr 2019 heraus: Die Apache Software Foundation (ASF) hat den Jahresbericht für das am 30. April zu Ende gegangene Fiskaljahr 2019 veröffentlicht. Weiterlesen...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden