[FUG-BR] Listen estranho do Apache
Sergito
sergito.lista em gmail.com
Terça Janeiro 31 11:12:40 BRST 2012
ou algum desses processos estranhos.. (42380)
Em 31 de janeiro de 2012 11:11, Sergito <sergito.lista em gmail.com> escreveu:
> qual a saída para.. lsof -p 37478 ?
>
>
>
> Em 31 de janeiro de 2012 08:57, Enio Marconcini <eniorm em gmail.com>escreveu:
>
> 2012/1/30 Paulo Henrique <paulo.rddck em bsd.com.br>
>>
>> > Em 30 de janeiro de 2012 23:09, Marcelo Gondim <gondim em bsdinfo.com.br
>> > >escreveu:
>> >
>> > > Em 30/01/2012 22:08, Enio Marconcini escreveu:
>> > > > 2012/1/30 André Otta<andreotta em gmail.com>
>> > > >
>> > > >> Boa noite!
>> > > >>
>> > > >> Ao meu ver:
>> > > >>
>> > > >> TCP 4 e 6 em qualquer endereço porta 80: www httpd
>> 37478 3
>> > > >> tcp4 6 *:80 *:*
>> > > >>
>> > > >> TCP 4 em qualquer porta e qualquer endereço: www httpd
>> > 37478
>> > > 4
>> > >
>> > > Enio faz um: procstat -f 37478
>> > > Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo
>> > > um bot.
>> > > Se for já sabes o que tem que fazer né? Pente fino em geral.
>> > >
>> > >
>> > Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se
>> > atentando a práticas de segurança durante a implementação é a melhor
>> > solução.
>> >
>> >
>> > !!!
>> >
>> > --
>> > :=)>BattleMaster<(=:
>> >
>> > Flamers > /dev/null !!!
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>>
>>
>> Bom dia Marcelo e Paulo, que zica einh
>>
>> veja
>>
>> procstat -f 42380
>> PID COMM FD T V FLAGS REF OFFSET PRO NAME
>> 42380 httpd text v r r-------- - - -
>> /usr/local/sbin/httpd
>> 42380 httpd cwd v d r-------- - - - /
>> 42380 httpd root v d r-------- - - - /
>> 42380 httpd 0 v c r-------- 5 0 - /dev/null
>> 42380 httpd 1 v c -w------- 5 0 - /dev/null
>> 42380 httpd 2 v r -wa------ 5 56619 -
>> /var/log/httpd-error.log
>> 42380 httpd 3 s - rw------- 13 0 TCP ::.80 ::.0
>> 42380 httpd 4 s - rw------- 5 0 TCP 0.0.0.0:0
>> 0.0.0.0:0
>> 42380 httpd 5 p - rw------- 9 0 -
>> 42380 httpd 6 p - rw------- 5 0 -
>> 42380 httpd 7 v r -wa------ 5 75305 -
>> /var/log/httpd-access.log
>> 42380 httpd 8 v r rw------- 5 0 - /tmp/aprEjowAd
>> 42380 httpd 9 v r -wa------ 5 13206181 -
>> /var/log/httpd-modrewrite.log
>> 42380 httpd 10 v r rw------- 5 0 - -
>> 42380 httpd 11 v r rw------- 5 0 - -
>> 42380 httpd 12 v r rw------- 5 0 - -
>> 42380 httpd 13 v r rw------- 5 0 - -
>> 42380 httpd 14 v r rw------- 5 0 - -
>> 42380 httpd 15 v r -w------- 5 0 - -
>> 42380 httpd 16 v r -w------- 1 0 - /tmp/aprEjowAd
>> 42380 httpd 17 k - rw------- 1 0 -
>> 42380 httpd 21 ? - --------- 2 0 -
>>
>> é o apache mesmo, não tem nada de excentrico acrescentado no apache, os
>> módulos eu desativei todos e deixei apenas os mais necessários, instalação
>> tudo via ports, até desativei o php_eaccelerator, mod_deflate e
>> mod_security (que foram os últimos ativados) porém continua a apresentar
>> aquela linha,
>>
>> como mostrado em cima, tem essa linha apontando para o /tmp/aprE*
>> porem estes arquivos estão presentes, mas com 0byte
>>
>> -rw------- 1 www wheel 0 Jan 24 14:17 apr7XFEWV
>> -rw------- 1 www wheel 0 Jan 16 10:49 aprEVwTS9
>> -rw------- 1 www wheel 0 Jan 31 08:33 aprEjowAd
>> -rw------- 1 www wheel 0 Jan 24 14:17 aprErjuTV
>> -rw------- 1 www wheel 0 Jan 24 14:17 aprj9YkfF
>>
>>
>> existe alguma forma mais aprofundada para se passar esse pente fino?
>>
>> --
>> *ENIO RODRIGO MARCONCINI*
>> @eniomarconcini <http://twitter.com/eniomarconcini>
>> skype: eniorm
>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
>>
>> *"H**ave a trouble with windows: reboot!*
>>
>> *Have a trouble with unix: be root!"*
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
Mais detalhes sobre a lista de discussão freebsd