[FUG-BR] Rootkit derrubando apache e consumindo a cpu

[Marcelo Gondim]

Em 17/03/2012 15:34, Saul Figueiredo escreveu:
> *
> Algo derruba o meu apache e não deixa eu o subir nem FU###¨%¨@
>
> [root em mail1 ~]# ps auxw |grep ww
> www       6698  0.0  0.0   5244  4008 ?        Ss   Mar01   0:42 bash
> www      10246  0.0  0.0   5776  4620 ?        Ss   Mar05   0:30 bash
> www      12036  0.0  0.0   2056   780 ?        Ss   Mar05   0:00 -bash
> www      12345  0.0  0.0   2056   704 ?        Ss   Mar05   0:00 -bash
> root     24554  0.0  0.0   4020   700 pts/2    S+   15:32   0:00 grep ww
> www      29241  0.0  0.0   2056   760 ?        Ss   Mar04   0:00 -bash
> www      30894 99.9  0.0   5332  2916 ?        R    Mar16 1362:26 -
>
> O Apache só sobe quano eu mato o processo **30894, o comando executado
> segundo o ps é o "-"
>
> seria algum rootkit? alguem ja viu isso?
> **
>
>
>
> *
Você pode estar com algum script botnet rodando nesse seu servidor. Isso 
acontece quando não se faz certas proteções no php e também quando a 
página não está bem programada.
Você pode ver onde está o cara fazendo: procstat -f <pid>

Nesse seu caso seria: procstat -f 30894