Vet inte om det är normalt men Apache ligger och pendlar mellan 0% idle och upp till 99%.
Kan det vara någon som har lagt nåt tråkigt skript någonstans?
Har inte mer än kanske 50 000 träffar i timmen.......

Hur mäter du? Snackar vi momentana siffror eller medelvärden över kortare perioder?

Hur som helst - jag har ofta fått denna fråga ang. flera olika typer av applikationer och svaret blir det samma nu som då:
Att en processor används till 100% när en applikation körs är ett gott tecken. Om däremot medelvärdet över en längre tid är högt har du problem, men allt som oftast klagas det på processorutnyttjande när det handlar om korta spikar. att processorn utnyttjas till 100% då det finns saker att göra är ju bara bra - annars skulle det ju vara slösri med datorkraft...

Tror jag har hittat det! Verkar vara någon mask som kopplar upp sig via irc:


perl 32458 www-data 3u IPv4 1157646 TCP 213.50.33.143:42321->196.67-19-65.reverse.theplanet.com:ircd (ESTABLISHED)

--22:32:47-- http://celular.gratishost.com/sess_31337_phpnuke
=> `sess_31337_phpnuke'
Resolving celular.gratishost.com... 66.115.176.138
Connecting to celular.gratishost.com[66.115.176.138]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,857 [text/plain]

22:32:47 (62.33 KB/s) - `sess_31337_phpnuke' saved [17857/17857]

Skriptet som körs är:
http://celular.gratishost.com/sess_31337_phpnuke


Ur auth.log:
Nov 20 17:40:01 debian CRON[18182]: (pam_unix) session opened for user www-data by (uid=0)

Hittade mycket riktigt filen /tmp/sess_31337_phpnuke som är samma fil som ligger på:
http://celular.gratishost.com/sess_31337_phpnuke

Någon som har sett något liknande, verkar dock inte vara något rootkit......

http://secunia.com/advisories/15244/

Kör du en opatchad PHP-Nuke?

Kollade IRC-kanalen den anslöt till och det var rätt många infekterade datorer där (242st).

Personligen är jag paranoid när det gäller sådant här, så.. jag hade (efter analys! :) förmodligen installerat om helt, dock.. minst Apache+stuff som PHP-nuke, etc.

Verkar vara en "standard" bot.. ansluter till en IRC-server och väntar på kommandon.. försöker hitta sårbara sidor via google, och har lite DoS-möjligheter (bara tittat snabbt).

Tack för info! Japp, jag kör en opatchad nuke, och jag kommer nu att patcha lite :)

Hände mig en gång också, fast den gick via en osäker php-http-post funktion och la upp massa saker i /tmp, bland annat en IRC bot som väntade på kommando. När den fick kommando så skickade den 50.000 mail till brasilienska (rättstavat) adresser. Fast jag hade tur då jag brukar logga netstat med jämna mellanrum och lite fundersam när ett par 1000 connections till hotmail.br skapades B)