Perl läuft seit einem Tag und 1 Stunde?

Post by **schnere** » 2007-04-12 17:29

Hi!

Auf meinem Server läuft Perl seit einem Tag und einer Stunde durch, ist das normal?
Außerdem ist die CPU-Auslastung "user" seit 8Stunden auf maximum.
Hab den Server nun neu gestartet, mal sehen was da abgeht...

Kann es sein, dass der Server gehackt wurde?
Welche logs soll ich nach was absuchen um das rauszufinden?
Der meiste Verkehr ist laut munin anscheinend bei POSTFIX und MySQL.

MfG schnere

Post by **schnere** » 2007-04-12 17:32

ps -A nach dem reboot:

Code: Select all

 PID TTY          TIME CMD
    1 ?        00:00:00 init
    2 ?        00:00:00 migration/0
    3 ?        00:00:00 ksoftirqd/0
    4 ?        00:00:00 watchdog/0
    5 ?        00:00:00 events/0
    6 ?        00:00:00 khelper
    7 ?        00:00:00 kthread
   10 ?        00:00:00 kblockd/0
   11 ?        00:00:00 kacpid
  134 ?        00:00:00 pdflush
  135 ?        00:00:00 pdflush
  137 ?        00:00:00 aio/0
  723 ?        00:00:00 kseriod
  136 ?        00:00:00 kswapd0
  874 ?        00:00:00 xfslogd/0
  875 ?        00:00:00 xfsdatad/0
  876 ?        00:00:00 xfsbufd
  907 ?        00:00:00 ata/0
  908 ?        00:00:00 ata_hotplug/0
  912 ?        00:00:00 scsi_eh_0
  913 ?        00:00:00 scsi_eh_1
 1907 ?        00:00:00 khubd
 2046 ?        00:00:00 kjournald
 2257 ?        00:00:00 udevd
 3140 ?        00:00:00 shpchpd_event
 3423 ?        00:00:00 kjournald
 3424 ?        00:00:00 kjournald
 3730 ?        00:00:00 syslogd
 3747 ?        00:00:00 dd
 3749 ?        00:00:00 klogd
 3774 ?        00:00:00 named
 3802 ?        00:00:00 mysqld_safe
 3842 ?        00:00:00 mysqld
 3843 ?        00:00:00 logger
 3894 ?        00:00:00 amavisd-new
 3939 ?        00:00:00 amavisd-new
 3940 ?        00:00:00 amavisd-new
 3941 ?        00:00:00 clamd
 3996 ?        00:00:00 freshclam
 4011 ?        00:00:00 courierlogger
 4012 ?        00:00:00 authdaemond.mys
 4026 ?        00:00:00 authdaemond.mys
 4027 ?        00:00:00 authdaemond.mys
 4028 ?        00:00:00 authdaemond.mys
 4029 ?        00:00:00 authdaemond.mys
 4030 ?        00:00:00 authdaemond.mys
 4032 ?        00:00:00 couriertcpd
 4034 ?        00:00:00 courierlogger
 4047 ?        00:00:00 couriertcpd
 4051 ?        00:00:00 courierlogger
 4059 ?        00:00:00 epmd
 4074 ?        00:00:00 beam
 4148 ?        00:00:00 master
 4153 ?        00:00:00 pickup
 4154 ?        00:00:00 qmgr
 4167 ?        00:00:00 sshd
 4173 ?        00:00:00 ssl_esock
 4258 ?        00:00:00 mdadm
 4271 ?        00:00:00 proftpd
 4283 ?        00:00:00 atd
 4293 ?        00:00:00 cron
 4314 ?        00:00:00 apache2
 4371 ?        00:00:00 munin-node
 4491 ?        00:00:00 miniserv.pl
 4496 ?        00:00:00 vhcs2_daemon
 4511 ?        00:00:00 apache2
 4512 ?        00:00:00 apache2
 4513 ?        00:00:00 apache2
 4514 ?        00:00:00 apache2
 4515 ?        00:00:00 apache2
 4516 ?        00:00:00 apache2
 4517 ?        00:00:00 miniserv.pl
 4532 tty1     00:00:00 getty
 4535 tty2     00:00:00 getty
 4536 tty3     00:00:00 getty
 4537 tty4     00:00:00 getty
 4538 tty5     00:00:00 getty
 4539 tty6     00:00:00 getty
 4550 ?        00:00:00 apache2
 4551 ?        00:00:00 apache2
 4552 ?        00:00:00 sshd
 4919 pts/0    00:00:00 bash
 4932 pts/0    00:00:00 ps

Post by **outofbound** » 2007-04-12 18:30

miniserv.pl.

Ist das deins?

Wenn nicht -> pwned.

[Ja, ich weiss, dass es auch von webmin sein kann. :)]

Wenn du aber sagst das Perl so lange läuft und Resourcen frisst,
kann es durchaus sein das du nicht mehr die Standardversion hast. :)

Gruss,

Out

Post by **tischi** » 2007-04-12 18:36

google hat mir verraten das es der Webmin server ist...
Erst eintrag im google:

http://www.heise.de/security/news/meldung/64298

Post by **schnere** » 2007-04-12 21:01

Ja, ist webmin.
Hab jetzt auch mal ein Update gemacht. War nur der Kernel OutOfDate.
Seit dem Neustart scheint laut munin auch wieder alles stabil zu laufen.
auth.log, apache-logs, mysql-logs fand ich auch nichts verdächtiges.

root-PW hab ich sicherheitshalber wieder geändert.
Mal sehen...

Post by **standbye** » 2007-04-13 09:39

schnere wrote: root-PW hab ich sicherheitshalber wieder geändert.
Mal sehen...

was dir nichts bringt falls schon jemand mal root rechte hatte ...

Post by **schnere** » 2007-04-13 11:01

Ja, aber in /etc/passwd hätt ich mal nichts gefunden

Post by **Outlaw** » 2007-04-13 11:35

Was Standbye Dir damit sagen will (ganz krass):

Viel Spass beim Neuinstallieren .... ;):D

Nur weil Du nix gefunden hast, heisst das nix.

Wenn Du ganz sicher gehen willst, dann bleibt nur eins ....

Gruß
Outi

RootForum Community

Perl läuft seit einem Tag und 1 Stunde?

Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?

Re: Perl läuft seit einem Tag und 1 Stunde?