Page 1 of 1
Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-12 17:29
by schnere
Hi!
Auf meinem Server läuft Perl seit einem Tag und einer Stunde durch, ist das normal?
Außerdem ist die CPU-Auslastung "user" seit 8Stunden auf maximum.
Hab den Server nun neu gestartet, mal sehen was da abgeht...
Kann es sein, dass der Server gehackt wurde?
Welche logs soll ich nach was absuchen um das rauszufinden?
Der meiste Verkehr ist laut munin anscheinend bei POSTFIX und MySQL.
MfG schnere
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-12 17:32
by schnere
ps -A nach dem reboot:
Code: Select all
PID TTY TIME CMD
1 ? 00:00:00 init
2 ? 00:00:00 migration/0
3 ? 00:00:00 ksoftirqd/0
4 ? 00:00:00 watchdog/0
5 ? 00:00:00 events/0
6 ? 00:00:00 khelper
7 ? 00:00:00 kthread
10 ? 00:00:00 kblockd/0
11 ? 00:00:00 kacpid
134 ? 00:00:00 pdflush
135 ? 00:00:00 pdflush
137 ? 00:00:00 aio/0
723 ? 00:00:00 kseriod
136 ? 00:00:00 kswapd0
874 ? 00:00:00 xfslogd/0
875 ? 00:00:00 xfsdatad/0
876 ? 00:00:00 xfsbufd
907 ? 00:00:00 ata/0
908 ? 00:00:00 ata_hotplug/0
912 ? 00:00:00 scsi_eh_0
913 ? 00:00:00 scsi_eh_1
1907 ? 00:00:00 khubd
2046 ? 00:00:00 kjournald
2257 ? 00:00:00 udevd
3140 ? 00:00:00 shpchpd_event
3423 ? 00:00:00 kjournald
3424 ? 00:00:00 kjournald
3730 ? 00:00:00 syslogd
3747 ? 00:00:00 dd
3749 ? 00:00:00 klogd
3774 ? 00:00:00 named
3802 ? 00:00:00 mysqld_safe
3842 ? 00:00:00 mysqld
3843 ? 00:00:00 logger
3894 ? 00:00:00 amavisd-new
3939 ? 00:00:00 amavisd-new
3940 ? 00:00:00 amavisd-new
3941 ? 00:00:00 clamd
3996 ? 00:00:00 freshclam
4011 ? 00:00:00 courierlogger
4012 ? 00:00:00 authdaemond.mys
4026 ? 00:00:00 authdaemond.mys
4027 ? 00:00:00 authdaemond.mys
4028 ? 00:00:00 authdaemond.mys
4029 ? 00:00:00 authdaemond.mys
4030 ? 00:00:00 authdaemond.mys
4032 ? 00:00:00 couriertcpd
4034 ? 00:00:00 courierlogger
4047 ? 00:00:00 couriertcpd
4051 ? 00:00:00 courierlogger
4059 ? 00:00:00 epmd
4074 ? 00:00:00 beam
4148 ? 00:00:00 master
4153 ? 00:00:00 pickup
4154 ? 00:00:00 qmgr
4167 ? 00:00:00 sshd
4173 ? 00:00:00 ssl_esock
4258 ? 00:00:00 mdadm
4271 ? 00:00:00 proftpd
4283 ? 00:00:00 atd
4293 ? 00:00:00 cron
4314 ? 00:00:00 apache2
4371 ? 00:00:00 munin-node
4491 ? 00:00:00 miniserv.pl
4496 ? 00:00:00 vhcs2_daemon
4511 ? 00:00:00 apache2
4512 ? 00:00:00 apache2
4513 ? 00:00:00 apache2
4514 ? 00:00:00 apache2
4515 ? 00:00:00 apache2
4516 ? 00:00:00 apache2
4517 ? 00:00:00 miniserv.pl
4532 tty1 00:00:00 getty
4535 tty2 00:00:00 getty
4536 tty3 00:00:00 getty
4537 tty4 00:00:00 getty
4538 tty5 00:00:00 getty
4539 tty6 00:00:00 getty
4550 ? 00:00:00 apache2
4551 ? 00:00:00 apache2
4552 ? 00:00:00 sshd
4919 pts/0 00:00:00 bash
4932 pts/0 00:00:00 ps
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-12 18:30
by outofbound
miniserv.pl.
Ist das deins?
Wenn nicht -> pwned.
[Ja, ich weiss, dass es auch von webmin sein kann. :)]
Wenn du aber sagst das Perl so lange läuft und Resourcen frisst,
kann es durchaus sein das du nicht mehr die Standardversion hast. :)
Gruss,
Out
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-12 18:36
by tischi
google hat mir verraten das es der Webmin server ist...
Erst eintrag im google:
http://www.heise.de/security/news/meldung/64298
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-12 21:01
by schnere
Ja, ist webmin.
Hab jetzt auch mal ein Update gemacht. War nur der Kernel OutOfDate.
Seit dem Neustart scheint laut munin auch wieder alles stabil zu laufen.
auth.log, apache-logs, mysql-logs fand ich auch nichts verdächtiges.
root-PW hab ich sicherheitshalber wieder geändert.
Mal sehen...
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-13 09:39
by standbye
schnere wrote:
root-PW hab ich sicherheitshalber wieder geändert.
Mal sehen...
was dir nichts bringt falls schon jemand mal root rechte hatte ...
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-13 11:01
by schnere
Ja, aber in /etc/passwd hätt ich mal nichts gefunden
Re: Perl läuft seit einem Tag und 1 Stunde?
Posted: 2007-04-13 11:35
by Outlaw
Was Standbye Dir damit sagen will (ganz krass):
Viel Spass beim Neuinstallieren .... ;):D
Nur weil Du nix gefunden hast, heisst das nix.
Wenn Du ganz sicher gehen willst, dann bleibt nur eins ....
Gruß
Outi