Egy ismerősöm kért meg, hogy nézzem meg a szerverét, mert a szolgáltatója szerint floodolnak a gépéről, ezért lehúzták a hálóról.
Helyi szemrevételezés után az alábbi furcsa processeket találtuk.
www-data 1683 ...... perl flood 89.136.119.66 53 212121
www-data 1684 ...... sh -c (sleep 212121; killall -9 udp) &
www-data 1685 ...... sleep 212121
a /var/tmp könyvtárban találtunk egy flood file-t.
Természetesen egyből kilőttük a processzeket és karanténba teetük a file-t.
Valakinek van ötlete, hogy mi lehet ez, és miként lehetne kiküszöbölni, hogy a későbbiekben ez megismétlődjön?
A segítséget előre is köszönjük.
- 784 megtekintés
Hozzászólások
Valószínűleg egy a gépen host-olt web alkalmazás sebezhetőségét kihasználva másolták fel a file-t. Első körben a rendszer átvizsgálása, majd frissíteni kell a webszervert, php-t ha van, utána az összes webes alkalmazást, portálmotort, fórum, webmail engine-t. Stb.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni