full-nelson
Hambuch Gabor
hambuch at w5.hu
2013. Nov. 15., P, 16:07:27 CET
2013-11-15 15:58 keltezéssel, Nyéki István írta:
> Üdv!
>
> Beleszaladtam valamibe és nem tudom a megoldást.
> A www-data user futtat valami perl-t ami 100%ig megeszi a procit.
>
>
> 4950 www-data 20 0 4652 2332 896 R 91.3 0.1 1:37.34 /usr/sbin/sshd
> 2910 www-data 20 0 90476 22m 5468 R 7.9 1.1 0:02.23
> /usr/sbin/apache2 -k start
>
> root at horusz:~# ps -u www-data
>
> PID TTY TIME CMD
> 6302 ? 00:00:00 apache2
> 6304 ? 00:00:00 apache2
> 6307 ? 00:00:00 apache2
> 6308 ? 00:00:00 apache2
> 6313 ? 00:00:00 apache2
> 6577 ? 00:00:00 apache2
> 6588 ? 00:00:00 apache2
> 6591 ? 00:00:00 apache2
> 6592 ? 00:00:00 apache2
> 6678 ? 00:00:00 apache2
> 6753 ? 00:00:00 apache2
> 13994 ? 00:00:00 15704
> 13999 ? 00:00:00 15704 <defunct>
> 28190 ? 00:00:00 15704
> 28434 ? 00:00:00 full-nelson
>
Eléggé valószínű, hogy a weblapon keresztül megtörték a szervert. Ezek a
processek az esetek többségében spamelni szoktak kifelé a nagyvilágba,
de bármi más is előfordulhat.
Ha valamilyen cms van a gépen (wordpress, joomla, ...), akkor lenne rá
egy fogadásom, hogy azon keresztül jutottak be. Ilyenkor érdemes ezeket
nulláról újrahúzni (nem mentésből visszatölteni), és frissíteni az
elérhető legfrissebb verzióra a témákkal és pluginekkel együtt. Valamint
érdemes körbenézni, hogy mihez férhetett hozzá, hova tudott írni még a
www-data nevében a script.
--
Hambuch Gábor
hambuch at w5.hu
További információk a(z) Techinfo levelezőlistáról