Apache macht komische Dinge
Hallo Liste,
kann mir hier jemand auf die Sprünge helfen, bzw. weiterführende Links
nennen was ich mir da eingefangen habe?
System ist ein Debian-Woody mit aktuellen Security-Patches.
Heute abend fiel mir das in 'top' auf:
20788 www-data 18 0 488 460 428 R 51.6 0.1 0:01 exe
20787 www-data 14 0 488 460 428 R 46.8 0.1 0:05 exe
'ps aux' lieferte das hier:
www-data 20769 47.7 0.1 1480 460 ? R 19:36 0:06 sh -c
/tmp/dsadas;rm -f /tmp/dsadas
www-data 20783 45.1 0.1 1480 460 ? R 19:36 0:02 sh -c
/tmp/dsadas;rm -f /tmp/dsadas
Diese beiden Prozesse ließen sich auch durch das Beenden von 'apache'
und 'apache-ssl' nicht beirren, ich habe sie dann von Hand durch ein
'kill' beendet.
/var/log/apache/error.log gibt folgendes her:
[Sat Aug 21 06:25:18 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
/tmp/dsadas: No such file or directory
exe: no process killed
dsadas: no process killed
/tmp/dsadas: no process killed
exe: no process killed
dsadas: no process killed
/tmp/dsadas: no process killed
/tmp/dsadas: No such file or directory
[Sun Aug 22 06:25:16 2004] [notice] SIGUSR1 received. Doing graceful
restart
und heute:
[Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/include/sdk386: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/include/sdk386: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
--18:06:28-- http://xpire.info/cli.gz
=> `/tmp/a.out'
Resolving xpire.info... done.
Connecting to xpire.info[202.99.23.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,147 [text/plain]
0K .......... ........ 100% 20.04
KB/s
18:06:29 (20.04 KB/s) - `/tmp/a.out' saved [19147/19147]
ls: /usr/bin/X11/X: No such file or directory
--18:06:33-- http://xpire.info/cli.gz
=> `/tmp/a.out'
Resolving xpire.info... done.
Connecting to xpire.info[202.99.23.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,147 [text/plain]
0K .......... ........ 100% 14.68
KB/s
18:06:35 (14.68 KB/s) - `/tmp/a.out' saved [19147/19147]
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
[Mon Aug 23 19:33:56 2004] [notice] caught SIGTERM, shutting down
Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge
dieser Art feststellen.
[Thu Aug 12 09:42:00 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
[Thu Aug 12 13:59:22 2004] [notice] caught SIGTERM, shutting down
Das Einzige was ich mit google gefunden habe ist
'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für
einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch
"Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port.
Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen,
noch _irgendwas_ außer bekanntem in '/tmp'.
Any Hints?
PS: Nein, Sven. Nicht momo.
gruss
f
Reply to: