full-nelson

Hambuch Gabor hambuch at w5.hu
2013. Nov. 15., P, 16:07:27 CET


2013-11-15 15:58 keltezéssel, Nyéki István írta:
> Üdv!
>
> Beleszaladtam valamibe és nem tudom a megoldást.
> A www-data user futtat valami perl-t ami 100%ig megeszi a procit.
>
>
> 4950 www-data  20   0  4652 2332  896 R 91.3  0.1   1:37.34 /usr/sbin/sshd
> 2910 www-data  20   0 90476  22m 5468 R  7.9  1.1   0:02.23
> /usr/sbin/apache2 -k start
>
> root at horusz:~# ps -u www-data
>
>    PID TTY          TIME CMD
>   6302 ?        00:00:00 apache2
>   6304 ?        00:00:00 apache2
>   6307 ?        00:00:00 apache2
>   6308 ?        00:00:00 apache2
>   6313 ?        00:00:00 apache2
>   6577 ?        00:00:00 apache2
>   6588 ?        00:00:00 apache2
>   6591 ?        00:00:00 apache2
>   6592 ?        00:00:00 apache2
>   6678 ?        00:00:00 apache2
>   6753 ?        00:00:00 apache2
> 13994 ?        00:00:00 15704
> 13999 ?        00:00:00 15704 <defunct>
> 28190 ?        00:00:00 15704
> 28434 ?        00:00:00 full-nelson
>

Eléggé valószínű, hogy a weblapon keresztül megtörték a szervert. Ezek a 
processek az esetek többségében spamelni szoktak kifelé a nagyvilágba, 
de bármi más is előfordulhat.
Ha valamilyen cms van a gépen (wordpress, joomla, ...), akkor lenne rá 
egy fogadásom, hogy azon keresztül jutottak be. Ilyenkor érdemes ezeket 
nulláról újrahúzni (nem mentésből visszatölteni), és frissíteni az 
elérhető legfrissebb verzióra a témákkal és pluginekkel együtt. Valamint 
érdemes körbenézni, hogy mihez férhetett hozzá, hova tudott írni még a 
www-data nevében a script.

-- 
Hambuch Gábor
hambuch at w5.hu


További információk a(z) Techinfo levelezőlistáról