Успокойте или скажите что меня хакнули, а не то не засну =)
Только что увидел второй процесс CROND (заглавными буквами).
Удивился, остановил service crond, этот остался. Сдуру не глянул внимательнее.
Посмотрел только что за файлы октрыты - такие же как сейчас у вновь запущенного крона. И убил его.
crond 2214 root cwd DIR 3,3 4096 4374535 /var/spool
crond 2214 root rtd DIR 3,3 4096 2 /
crond 2214 root txt REG 3,3 23228 393396 /usr/sbin/crond
crond 2214 root mem REG 3,3 103044 3883016 /lib/ld-2.3.2.so
crond 2214 root mem REG 3,3 52472 3883037 /lib/libnss_files-2.3.2.so
crond 2214 root mem REG 3,3 1531064 131081 /lib/tls/libc-2.3.2.so
crond 2214 root 0u CHR 4,1 72037 /dev/tty1
crond 2214 root 1w FIFO 0,7 82391 pipe
crond 2214 root 2w FIFO 0,7 82392 pipe
crond 2214 root 3u REG 3,3 5 4358366 /var/run/crond.pid
crond 2214 root 4u unix 0xdf751320 82394 socket
chkrootkit ничего не нашел. Ничего специально не стоит
( Tripware, LIDS..)
Ssh запускается иногда вручную и достп толкьо из нашей локалки.
Зато есть apache, vsftpd, bind.
Сервер "игрушечный", днс обслуживает десяток машин, фтп
в-основном сервер для работы на кластере - чтобы файлы таскать туда-сюда, апач для домашней странички.
вот скан:
Port State Service
21/tcp open ftp
22/tcp filtered ssh
53/tcp open domain
80/tcp open http
443/tcp filtered https
6000/tcp filtered X11
netstat говорит что кроме log и xfs никто ничего не слушает.
last говорит что всё ок, но я нутром чую что-то здесь не так.
Не помню, чтобы кроны у меня по две штуки запускались...
Вот думаю - начинать сравнивать все бинарники с оригиналами или я просто туплю?
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.