Proces exe beziaci pod apachom
Jan Houstek
Jan.Houstek na mff.cuni.cz
Středa Prosinec 28 19:09:30 CET 2005
Vladimir Rengevic wrote:
> Dobry den,
>
> zacal sa mi vyskytovat zaujimavy problem. Vznikaju mi procesy "exe"
> beziace pod userom apache.
> Moj kamarat google mi vyzradil, ze to moze vznikat ak niekto natahuje
> cez include subor a niekto
> mu zvonku podstrci svoj cez http://... Zakazal som to pomocou direktivy
> "allow_url_fopen"
> v php.ini. Neviem ale vystopovat v logoch kto mi co a kde podstrkuje (na
> servri hostuje kopa webov).
> Momentalne ich zabijam priebezne cez "killall -9 exe" a z cronu to
> pravidelne spustam.
> To ale neni moc systemove riesenie.
> Poradte prosim, co s tym?
Je to nejake svinstvo (rozumej cerv), kteremu se zrovna ted nejak dari.
U jednoho zakaznika jsem to videl -- dostal se tam pres nejaka derava
php a vytvoril si cronovou ulohu, ktera vyrobi prislusnou binarku kdesi
v /tmp, spusti ji a smaze (a diky tomu, ze to je v cronu, to po zabiti
po chvili skodi znovu).
Samotny program se choval dost agresivne, nemel jsem prilezitost
prozkoumat, co presne je obsahem komunikace, ale u toho zakaznika se mu
podarilo zatizit Cisco 3600 zpusobem, ze bylo totalne tuhe.
Vic jsem to neresil, ale pokud by mel nekdo zajem, muzu poskytnout
inkriminovany program, ktery si ten cerv nainstaluje. Jakou diru to
vyuziva, to by me taky zajimalo.
-- Honza Houstek
Další informace o konferenci Linux