Ämne: Apache går upp till 99% CPU
Visa ett inlägg
Oläst 2005-11-21, 00:26 #3
Danieloss avatar
Danielos Danielos är inte uppkopplad
Klarade millennium-buggen
  
Reg.datum: Oct 2005
Inlägg: 3 102
Danielos Danielos är inte uppkopplad
Klarade millennium-buggen
Danieloss avatar
 
Reg.datum: Oct 2005
Inlägg: 3 102
Tror jag har hittat det! Verkar vara någon mask som kopplar upp sig via irc:


perl 32458 www-data 3u IPv4 1157646 TCP 213.50.33.143:42321->196.67-19-65.reverse.theplanet.com:ircd (ESTABLISHED)

--22:32:47-- http://celular.gratishost.com/sess_31337_phpnuke
=> `sess_31337_phpnuke'
Resolving celular.gratishost.com... 66.115.176.138
Connecting to celular.gratishost.com[66.115.176.138]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,857 [text/plain]

22:32:47 (62.33 KB/s) - `sess_31337_phpnuke' saved [17857/17857]

Skriptet som körs är:
http://celular.gratishost.com/sess_31337_phpnuke


Ur auth.log:
Nov 20 17:40:01 debian CRON[18182]: (pam_unix) session opened for user www-data by (uid=0)

Hittade mycket riktigt filen /tmp/sess_31337_phpnuke som är samma fil som ligger på:
http://celular.gratishost.com/sess_31337_phpnuke

Någon som har sett något liknande, verkar dock inte vara något rootkit......
Danielos är inte uppkopplad   Svara med citatSvara med citat