Discussioni sul sistema operativo Linux
 

Processi con nomi fasulli

luca03@gmail.com 4 Giu 2015 09:13
Salve a tutti,

mi trovo nella imbarazzante situazione di non sapere come fare.
Il problema è questo: (ecco un breve estratto di ps -ax)

luca 14402 0.0 0.1 34528 4080 ? S 01:54 0:00
/usr/local/apache/bin/httpssld
luca 14712 0.0 0.1 34528 4088 ? S 02:00 0:00
/usr/local/apache/bin/httpssld
luca 15015 0.0 0.1 34528 4072 ? S 02:06 0:00
/usr/local/apache/bin/httpssld
luca 15320 0.0 0.1 34528 4072 ? S 02:12 0:00
/usr/local/apache/bin/httpssld
luca 15628 0.0 0.1 34528 4092 ? S 02:18 0:00
/usr/local/apache/bin/httpssld
luca 15930 0.0 0.1 34528 4076 ? S 02:24 0:00
/usr/local/apache/bin/httpssld


questi processi si ripetono infinitamente sino a saturare tutte le risorse della
macchina.
La cosa inquietante è che il percorso e relativo *******
/usr/local/apache/bin/httpssld non esistono.

Ho bisogno di qualche suggerimento per risalire a cosa si sta impossessando
della mia macchina...

Grazie per tutto che l'aiuto che potrete darmi
Luca
Roberto Tagliaferri 4 Giu 2015 10:25
luca03@gmail.com wrote:

> Salve a tutti,
>
> mi trovo nella imbarazzante situazione di non sapere come fare.
> Il problema è questo: (ecco un breve estratto di ps -ax)
>
> luca 14402 0.0 0.1 34528 4080 ? S 01:54 0:00
> /usr/local/apache/bin/httpssld
> luca 14712 0.0 0.1 34528 4088 ? S 02:00 0:00
> /usr/local/apache/bin/httpssld
> luca 15015 0.0 0.1 34528 4072 ? S 02:06 0:00
> /usr/local/apache/bin/httpssld
> luca 15320 0.0 0.1 34528 4072 ? S 02:12 0:00
> /usr/local/apache/bin/httpssld
> luca 15628 0.0 0.1 34528 4092 ? S 02:18 0:00
> /usr/local/apache/bin/httpssld
> luca 15930 0.0 0.1 34528 4076 ? S 02:24 0:00
> /usr/local/apache/bin/httpssld
>
>
> questi processi si ripetono infinitamente sino a saturare tutte le risorse
> della macchina. La cosa inquietante è che il percorso e relativo ******* >
/usr/local/apache/bin/httpssld non esistono.
>
> Ho bisogno di qualche suggerimento per risalire a cosa si sta
> impossessando della mia macchina...
>
> Grazie per tutto che l'aiuto che potrete darmi
> Luca

se entri in /proc/15930 e fai ls -l che vedi?

--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
luca03@gmail.com 4 Giu 2015 10:43
Il giorno giovedì 4 giugno 2015 09:25:53 UTC+1, Roberto Tagliaferri ha scritto:
> luca03@gmail.com wrote:
>
>> Salve a tutti,
>>
>> mi trovo nella imbarazzante situazione di non sapere come fare.
>> Il problema è questo: (ecco un breve estratto di ps -ax)
>>
>> luca 14402 0.0 0.1 34528 4080 ? S 01:54 0:00
>> /usr/local/apache/bin/httpssld
>> luca 14712 0.0 0.1 34528 4088 ? S 02:00 0:00
>> /usr/local/apache/bin/httpssld
>> luca 15015 0.0 0.1 34528 4072 ? S 02:06 0:00
>> /usr/local/apache/bin/httpssld
>> luca 15320 0.0 0.1 34528 4072 ? S 02:12 0:00
>> /usr/local/apache/bin/httpssld
>> luca 15628 0.0 0.1 34528 4092 ? S 02:18 0:00
>> /usr/local/apache/bin/httpssld
>> luca 15930 0.0 0.1 34528 4076 ? S 02:24 0:00
>> /usr/local/apache/bin/httpssld
>>
>>
>> questi processi si ripetono infinitamente sino a saturare tutte le risorse
>> della macchina. La cosa inquietante è che il percorso e relativo ******* >
> /usr/local/apache/bin/httpssld non esistono.
>>
>> Ho bisogno di qualche suggerimento per risalire a cosa si sta
>> impossessando della mia macchina...
>>
>> Grazie per tutto che l'aiuto che potrete darmi
>> Luca
>
> se entri in /proc/15930 e fai ls -l che vedi?
>
> --
> Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
> www.robyt.eu

Con htop sono riuscito a risalire ad una entry in crontab che faceva una wget ed
altre cose strane (chiamava in causa perl)...

Ovviamente ho rimosso quella riga e riavviato. Ora non ci sono più processi
strani, il consumo di memoria si mantiene basso, ma non capisco come sia potuto
accadere.
Skull 4 Giu 2015 12:31
On 04/06/15 10:43, luca03@gmail.com wrote:

> Con htop sono riuscito a risalire ad una entry in crontab che faceva una wget
ed altre cose strane (chiamava in causa perl)...
>
> Ovviamente ho rimosso quella riga e riavviato. Ora non ci sono più processi
strani, il consumo di memoria si mantiene basso, ma non capisco come sia potuto
accadere.
>

Facile: t'han bucato ^_^
lorenzodes 4 Giu 2015 17:36
Il 04/06/2015 10:43, luca03@gmail.com ha scritto:

> Con htop sono riuscito a risalire ad una entry in crontab che faceva una wget
ed altre cose strane (chiamava in causa perl)...
>
> Ovviamente ho rimosso quella riga e riavviato. Ora non ci sono più processi
strani, il consumo di memoria si mantiene basso, ma non capisco come sia potuto
accadere.
>

Brasa la macchina e reinstalla.
Yoda 4 Giu 2015 19:41
Addi' 04 giu 2015, Skull scrive:
> On 04/06/15 10:43, luca03@gmail.com wrote:

>> Con htop sono riuscito a risalire ad una entry in crontab che faceva
>> una wget ed altre cose strane (chiamava in causa perl)...

>> Ovviamente ho rimosso quella riga e riavviato. Ora non ci sono più
>> processi strani, il consumo di memoria si mantiene basso, ma non capisco
>> come sia potuto accadere.

> Facile: t'han bucato ^_^

Ma scusate la prima cosa che fanno non e' di taroccare tutti gli
eseguibili di sistema tipo ps in modo da non poter essere scoperti?


--
Tanti saluti
Neoviruz 4 Giu 2015 20:02
Nel suo scritto precedente, Yoda ha sostenuto :

> Ma scusate la prima cosa che fanno non e' di taroccare tutti gli
> eseguibili di sistema tipo ps in modo da non poter essere scoperti?

Dipende da come sono entrati. Stabilire a posteriori, come, dove e
cosa, è impresa ardua a volte.
Skull 5 Giu 2015 11:00
On 04/06/15 19:41, Yoda wrote:
> Addi' 04 giu 2015, Skull scrive:
>> On 04/06/15 10:43, luca03@gmail.com wrote:
>
>>> Con htop sono riuscito a risalire ad una entry in crontab che faceva
>>> una wget ed altre cose strane (chiamava in causa perl)...
>
>>> Ovviamente ho rimosso quella riga e riavviato. Ora non ci sono più
>>> processi strani, il consumo di memoria si mantiene basso, ma non capisco
>>> come sia potuto accadere.
>
>> Facile: t'han bucato ^_^
>
> Ma scusate la prima cosa che fanno non e' di taroccare tutti gli
> eseguibili di sistema tipo ps in modo da non poter essere scoperti?

Dai per scontato che abbiano anche fatto escalation dei privilegi, il
che oggi come oggi è cosa abbastanza rara.
Mascherare il nome del processo è cosa immediata, e più che sufficiente
al 99.9% degli abuser di questo genere, che bada solo alla quantità di
macchine a disposizione...

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.