strano crash di apache - probabile compromissione del sistema???
su una stable con apache2 mi si è verificato uno strano crash...
il file error.log riporta solo questo messaggio:
[Sun Mar 12 06:25:12 2006] [notice] caught SIGTERM, shutting down
niente di strano nel file access.log
provando a fare ripartire apache ottenevo un errore che mi indicava
che la porta 80 era in uso.
con netstat ho individuato il processo (che era httpd) e lo ho 'killato'
un ulteriore `netstat -lnp | grep :80` ora mi rileva questo:
tcp 0 0 0.0.0.0:80 0.0.0.0:* \
LISTEN 6669/mech
questo l'output di ps -aux | grep mech
www-data 6669 0.0 0.3 1772 836 ? S Mar06 0:01 ./mech
ho fatto qualche ricerca in rete ma senza trovare nulla che potesse
spiagarmi cosa diavolo è sto 'mech', che non sono riuscito ad
individuare nel filesystem.
ho provato ad aggiornare il sistema, e apt non mi ha fatto aggiornare
le core-utils, perchè non riusciva a rimuovere il vecchio /bin/ls
ho fatto un controllo e ho trovato che i file /bin/ls /bin/netstat e
/bin/ps non appartengono all'utente al gruppo root, ma rispettivamente
all'utente 122 e al gruppo 144, che nel sistema ovviamente non
esistono; qualsiasi tentativo di diventarne il proprietario o di
spostarli fallisce con un bel 'Operation not permitted'
il tutto mi puzza di compromissione, ma non sono un esperto e gradirei
sapere come muovermi....
qualche suggerimento???
ciao e grazie
Max
Reply to: