Re: proceso extraño

To: "Lista Debian" <debian-user-spanish@lists.debian.org>
Subject: Re: proceso extraño
From: "jose wilmar palacio lopez" <jose.wilmar@gmail.com>
Date: Mon, 12 Mar 2007 18:12:40 -0500
Message-id: <[🔎] 94a51aec0703121612t5bb2227blb282aaa198b86c68@mail.gmail.com>
In-reply-to: <[🔎] 45ED5F3D.6040102@uncu.edu.ar>
References: <[🔎] 94a51aec0703051248h23ac997dw14dd612c3a1de364@mail.gmail.com> <[🔎] 45ED5F3D.6040102@uncu.edu.ar>

El 6/03/07, Federico Alberto Sayd <fsayd@uncu.edu.ar> escribió:

jose wilmar palacio lopez wrote:
> hola compañeros.
>
> Tengo instalado apache2, y esta es la salida de top filtrado por
> usuario www-data.
> me parece extraño el primer proceso (pid 7399) ya q hace referencia a
> una ruta q no existe, es decir, al ir a /usr/local , no veo la carpeta
> apache
>
> ¿saben q puede ser ese proceso ?
> la verdad he tenido problemas con el apache y ando buscando el origen.
>
> Muchas gracias por la ayuda.
>
> ID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
> 7399 www-data   9   0   728  728  536 S  0.0  0.0   0:02.10
> /usr/local/apache/bin/httpd -DSSL
> 9033 www-data   9   0  9744 9736 7764 S  0.0  0.5   0:01.47
> /usr/sbin/apache2 -k start -DSSL
> 10183 www-data   9   0  9688 9680 7772 S  0.0  0.5   0:00.73
> /usr/sbin/apache2 -k start -DSSL
> 10446 www-data   9   0  9668 9660 7772 S  0.0  0.5   0:00.47
> /usr/sbin/apache2 -k start -DSSL
> 10807 www-data   8   0  9632 9624 7804 S  0.0  0.5   0:00.16
> /usr/sbin/apache2 -k start -DSSL
> 11004 www-data   8   0  8008 8004 7784 S  0.0  0.4   0:00.03
> /usr/sbin/apache2 -k start -DSSL
> 11005 www-data   9   0  9596 9588 7812 S  0.0  0.5   0:00.22
> /usr/sbin/apache2 -k start -DSSL
> 11006 www-data   9   0  8468 8460 7948 S  0.0  0.4   0:00.15
> /usr/sbin/apache2 -k start -DSSL
> 11008 www-data   9   0  9612 9604 7780 S  0.0  0.5   0:00.28
> /usr/sbin/apache2 -k start -DSSL
> 11048 www-data   9   0  9568 9560 7772 S  0.0  0.5   0:00.14
> /usr/sbin/apache2 -k start -DSSL
> 11171 www-data   8   0  8004 8000 7792 S  0.0  0.4   0:00.03
> /usr/sbin/apache2 -k start -DSSL
> 11172 www-data   8   0  8000 7996 7792 S  0.0  0.4   0:00.02
> /usr/sbin/apache2 -k start -DSSL
>
>
>
Hola

Eso parece una instalación a mano del apache (desde el tar.gz). ¿Está
todo instalado desde paquetes de la distribución?

Saludos!!


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

si, el apache fue instalado desde los paquetes de la distribucion..nada a mano.

resulta que este proceso no se inicia con el demonio de apache...

el problema inicialmente ya lo habia planteado en la lista...y es q
todos los domingos se cae el servicio de apache2....ahora me doy
cuenta q estoy hackeado  y creo q el asunto sucede cada vez(todos los
domingos) que se ejecuta el logrotate del apache, ya q este reinicia
el servicio y creo q en ese momento es cuando el proceso extraño se
apodera del socket del apache...ya q despues de caido el apache no se
deja reiniciar...y solo es posible despues de matar el mencionado
proceso.

lo de hackeado lo digo por las siguientes razones:
encontre que el proceso se estaba ejecutando desde /var/tmp donde
habia una serie de directorios desconocidos y en uno de ellos un .pl q
correspondia al proceso que encontraba corriendo todos los domingos
despues de que se caía el apache. despues de borrar estos directorios,
me encuentro con que aparecen de nuevo pero con otros
nombres.....luego me encuentro con lo siguiente

server1:/var/spool/cron/crontabs# cat www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Mar 11 22:28:54 2007)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * /var/tmp/ChuCu/y2kupdate >/dev/null 2>&1
0,10,20,30,40,50 * * * * /var/tmp/.psy/y2kupdate >/dev/null 2>&1

alguien agregó estas dos ultimas lineas en este archivo (chuchu y .psy
son un directorio y un archivo q me encontré entre otros en tmp). asi
pues q me dispuse a borrar dichas lineas, pero vaya sorpresa! vulven y
aparecen , al igual q los directorios en tmp.

solo tengo 10 usuario en el server con shell (/bin/bash) , y mantengo
revisando sus .bash_history ..definitivamente los descartos como los
intrusos.

la verdad no se que hacer o por donde empezar a buscar una solucion.
por lo pronto tengo tres dudas:

1. server1:/var/spool/cron# ls -la
total 20
drwxr-xr-x  5 root   root    4096 2006-01-14 02:37 .
drwxr-xr-x  7 root   root    4096 2006-12-04 16:11 ..
drwx------  2 daemon daemon  4096 2006-01-14 02:37 atjobs
drwx------  2 daemon daemon  4096 2002-01-18 03:13 atspool
drwx-wx--T  2 root   crontab 4096 2007-03-11 22:28 crontabs

alguien sabe q significa esa "T" en los permisos del directorio crontabs??

2. drwxrwxrwt   4 root      root      4096 2007-03-12 16:58 tmp

es normal q la carpeta tmp tenga todos los permisos?

3. www-data:x:33:33:www-data:/var/www:/bin/sh

es normal q el usuario www-data tenga asignado ese shell.
.
.
.
Muchas gracias por la ayuda q me puedan brindar y disculpen el correo
tan inmenso y aburridor .

Reply to:

Follow-Ups:
- Re: proceso extraño
  - From: Luis Rodrigo Gallardo Cruz <rodrigo@nul-unu.com>

References:
- proceso extraño
  - From: "jose wilmar palacio lopez" <jose.wilmar@gmail.com>
- Re: proceso extraño
  - From: Federico Alberto Sayd <fsayd@uncu.edu.ar>

Prev by Date: Re: ?Puede ser un Debian GNU/Linux mejor elección que un Clon RedHat GNU/Linux para Servidores DELL? [ARREGLADO v1.1]
Next by Date: Re: Error de lectura en apt-get update.
Previous by thread: Re: proceso extraño
Next by thread: Re: proceso extraño
Index(es):
- Date
- Thread