Re: Charge inexplicable sur un serveur web
On Fri, Jan 19, 2007 at 10:22:39PM +0100, Michel Grentzinger wrote :
> Le vendredi 19 janvier 2007 11:58, Serge Cavailles a écrit :
> > Le Jeudi 18 Janvier 2007 18:46, Michel Grentzinger a écrit :
> > > Bonjour,
> >
> > Bonjour,
> >
> > > Depuis hier soir, j'ai la charge CPU entre 80 et 90%. Le processus en
> > > question est :
> > > $ top
> > > [...]
> > > 30851 www-data 25 0 5624 3108 1432 R 85.5 0.6 2:49.90 perl
> > >
> > > michel@kayak:~ $ ps -l 30851
> > > F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD
> > > 1 R 33 30851 1 54 85 0 - 1406 - ? 4:30 sh -i
> > >
> > > J'ai déjà tué ce processus avec succès mais il revient tel un boomerang
> > > quelques temps après (quelques dizaines de minutes, voire une heure je
> > > pense).
> > >
> > > Le www-data me fait penser au serveur web.
> >
> > +1
> >
> > > Quelqu'un a-t-il déjà eu ce soucis ? Une idée ? Comment puis-je
> > > investiguer ça ?
> >
> > pstree pour savoir qui le lance?
>
> Je vais essayer.
> En attendant, j'ai relancé Apache2. Depuis, RAS.
> Merci.
>
> --
> Michel Grentzinger
> OpenPGP key ID : B2BAFAFA
> Available on http://www.keyserver.net
>
Slt,
A priori cacti est susceptible d'être attaqué. Regarde ton fichier
/var/log/apache-ssl/domainone_access.log pour connaître les
dernières attaques. Puis lance une recherche sur le net.
GET /cacti/cmd.php
Je n'ai pas été plus loin car je ne l'ai pas sur mon serveur.
Le lien suivant te donne la nature de la faille de sécurité.
http://www.freebsddiary.org/cacti-exploit.php
--
La connerie c'est la décontraction de l'intelligence.
Reply to: