ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Apache, Lighttpd, nginx, Cherokee
vincentgdg
Posts: 25
Joined: 2003-02-21 11:15
Location: Frankfurt

ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by vincentgdg » 2007-03-26 22:42

Hallo.

Ich habe eben mal wieder auf meinen Suse 9 Server geschaut, auf dem Apache2 läuft.

Dabei bemerkte ich, dass dort ein Prozess /usr/local/apache/bin/httpd -DSSL mit über 80% Rechenzeit läuft, obwohl es das Verzeichnis apache überhaupt nicht gibt. Der Prozess wurde von init(3) gestartet, aber erst heute um 18:33, während der Server selbst seit dem 23. läuft.
Im Verzeichnis rc3.d befindet sich kein Link, der diesen Pfad beinhaltet.

Laut Webmin:

Offene Netzwerkverbindungen
Art Protokoll Datei-Descriptor Details
IPV4 TCP 3u Horcht auf Port http
IPV4 TCP 4u Horcht auf Port https
IPV4 TCP 17u 81.169.154.77:59361 -> 212.227.80.165:http-alt ESTABLISHED

Offene Dateien
Datei-Descriptor Art Dateigröße Inode Pfad
Momentanes Verzeichnis Verzeichnis 4096 2 /
Wurzel-Verzeichnis Verzeichnis 4096 2 /
Programcode Reguläre Datei 1161600 737673 /usr/bin/perl
Gemeinsame Bibliothek Reguläre Datei 112347 2228247 /lib/ld-2.3.2.so
Gemeinsame Bibliothek Reguläre Datei 22980 4096056 /usr/lib/perl5/5.8.1/i586-linux-thread-multi/auto/IO/IO.so
Gemeinsame Bibliothek Reguläre Datei 89220 2228269 /lib/libnsl.so.1
Gemeinsame Bibliothek Reguläre Datei 13625 2228260 /lib/libdl.so.2
Gemeinsame Bibliothek Reguläre Datei 183008 2277379 /lib/i686/libm.so.6
Gemeinsame Bibliothek Reguläre Datei 43542 2228258 /lib/libcrypt.so.1
Gemeinsame Bibliothek Reguläre Datei 10772 2228286 /lib/libutil.so.1
Gemeinsame Bibliothek Reguläre Datei 80714 2277380 /lib/i686/libpthread.so.0
Gemeinsame Bibliothek Reguläre Datei 1461208 2277378 /lib/i686/libc.so.6
Gemeinsame Bibliothek Reguläre Datei 28306 4554804 /usr/lib/perl5/5.8.1/i586-linux-thread-multi/auto/Socket/Socket.so
Gemeinsame Bibliothek Reguläre Datei 42162 2228272 /lib/libnss_files.so.2
0r fifo
39008275 pipe
1w fifo
39008274 pipe
2u Reguläre Datei 856737 2965724 /var/log/apache2/error_log
5r fifo
38940848 pipe
6w fifo
38940848 pipe
7u Reguläre Datei 856737 2965724 /var/log/apache2/error_log
8u Reguläre Datei 18637 2343146 /var/log/apache2/confixx/h60104.serverkompetenz.net_error.ssl.log
9u Reguläre Datei 5650393 2342916 /var/log/apache2/confixx/h60104.serverkompetenz.net_error.log
10w Reguläre Datei 7617352 2965675 /var/log/apache2/access_log
11r fifo
38940849 pipe
12w fifo
38940849 pipe
13w Reguläre Datei 30777508 2343147 /var/log/apache2/confixx/h60104.serverkompetenz.net_access.ssl.log
14w fifo
38940849 pipe
15w Reguläre Datei 58363480 2342917 /var/log/apache2/confixx/h60104.serverkompetenz.net_access.log
16u sock
39008270 can't identify protocol

Der Prozess ruft dauerhaft auf:
select 24,17,NULL,NULL,(0,0)



Was ist das?!

Grüße
Thomas
Last edited by vincentgdg on 2007-03-26 23:14, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by captaincrunch » 2007-03-26 23:13

Dein Host hat von Port 59361 eine Verbindung zu Port 8008 der anderen Koste offen. Erstmal nichts (allzu) verdächtiges dran. Wie wär's denn, wenn du mal ins Rescue bootest, und die /usr/local dort mal anschaust?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

vincentgdg
Posts: 25
Joined: 2003-02-21 11:15
Location: Frankfurt

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by vincentgdg » 2007-03-26 23:16

Die Sache ist ja, dass ich nicht weiß, wieso dieser Prozess überhaupt existiert und wieso er ständig diesen "select" in einer Schleife ausführt.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by captaincrunch » 2007-03-26 23:18

Wenn du jetzt noch mal weiter editierst, und passende PIDs und dazugehörige Ausgaben zeigst, kann man dir vielleicht sogar mehr sagen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

vincentgdg
Posts: 25
Joined: 2003-02-21 11:15
Location: Frankfurt

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by vincentgdg » 2007-03-26 23:26

CaptainCrunch wrote:Wenn du jetzt noch mal weiter editierst, und passende PIDs und dazugehörige Ausgaben zeigst, kann man dir vielleicht sogar mehr sagen.
Ich kenne mich leider nicht so super gut damit aus. :-)
Welche Ausgaben meinst Du?
Und ist die PID denn immer dieselbe?

ps aux zeigt:
wwwrun 6351 84.2 0.6 4988 3440 ? R 18:33 182:50 /usr/local/apache/bin/httpd -DSSL

Grüße
Thomas

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by captaincrunch » 2007-03-26 23:31

1. Woher hast du die Dinge, die du im ersten Post hinzueditiert hast? Beziehen die sich auf PID 6351?

2. Was sagen denn:
cat /proc/6351/cmdline
ls /proc/6351/cwd
cat /proc/6351/environ
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

vincentgdg
Posts: 25
Joined: 2003-02-21 11:15
Location: Frankfurt

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by vincentgdg » 2007-03-26 23:39

Die Daten hat alle Webmin zu der PID, also dem Prozess, geliefert.

h60104:/usr/libexec/webmin # cat /proc/6351/cmdline
cat: /proc/6351/cmdline: No such file or directory
h60104:/usr/libexec/webmin # ls /proc/6351/cwd
/bin/ls: /proc/6351/cwd: No such file or directory
h60104:/usr/libexec/webmin # cat /proc/6351/environ
cat: /proc/6351/environ: No such file or directory

Ich habe aber den Prozess vorher gekillt, weil mir das doch nicht geheuer war.
Mich wundert ja auch, dass der Prozess erst Tage nach dem Reboot startete.
Und den alten Apache habe ich eigentlich auch gar nicht auf dem Server.

Gibt es eine Situation, in der Apache2 sowas wie eine Emulation des alten Apache startet?

wichtel
Posts: 28
Joined: 2003-02-11 20:50
Location: FI-Porvoo

Re: ein seltsamer prozess läuft ohne dass es den pfad gibt?!

Post by wichtel » 2007-03-27 10:33

Ich glaube du wurdest über XSS gehackt, such mal in Deinen Logs und unter Google nach borek.txt.

Wenn der wieder läuft wirst Du in Top ein perl task finden, der mit dem User des Webservers läuft.

Das hatte ich letzte Woche. Ein PHP-Script auf dem Server hatte eine Lücke.

Lieben Gruss aus Finnland

Andy alias wichtel