LINUX.ORG.RU

Помогите найти дырку


0

0

Появилась проблемка на сервере - периодически ктото нехороший запускает процесс, который в ps выглядит примерно так:

apache 28039 1 0 07:32 ? 00:00:00 /etc/apache2/httpd.conf -k start

Работает он параллельно с Apache, и если заходить на сайты когда эта зараза запущена - то видим красный квадратик и предложение IE скачать и установить ActiveX компонет, скорее всего это вирус.

Дело в том, что ума не приложу как и кто мне запускает этот процесс, подскажите какие могут быть в моем случае способы анализа и диагностики.

★★

Ты точно не перепутал с /usr/sbin/httpd -f /etc/apache2/httpd.conf -k start ? Если нет, то плохо всё.

Анализ и диагностика - внимательно смотреть логи и пригласить аудитора(если сам не осилишь), который бы просмотрел скрипты на сайте. Пройдись rootkit hunter'ом каким-нибудь. Проверь установленные бинари по базе rpm/etc.

Deleted
()
Ответ на: комментарий от Deleted

В том то и дело что не перепутал :(

LX ★★
() автор топика

rkhunter и chkrootkit ничего не нашли...

LX ★★
() автор топика

ls -l /proc/28039/exe

AEP ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.