/etc altında rsyslog servisinin aldığı logları nereye gönderdiğini kontrol etmenizi önerebilirim. Böylece daha fazla araştırma yapmak için belki bir ip ucu bulabilirsiniz. Bunun haricinde az önce bir mentor'a konuyla ilgili danıştım. birisinin sisteme rootkit olarak eklenmiş bir kod parçacığı olabileceğini söyledi. araştırmaya değer olduğunu düşünüyorum.
5 Aralık 2013 10:41 tarihinde Gamze Tepe <gt...@incentro.at> yazdı: > Iyi günler, > > > > Pazartesiden beri yazilim gelistirdigim server'a saldirilar oluyor. > > > > Uname -a komutu bana su bilgileri verdi. > > > > Linux dafneLive 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686 > GNU/Linux > > > > Birileri bir sekilde hergün www-data kullanicisi icin bir cronjob > tanimliyor: > > > > * * * * * /tmp/.ICE-unix/-log/httpd >/dev/null 2>&1 > > > > > > Ve bu yüzden top komutunu kullandigimda söpyle bir sonuc cikiyor: > > > > > > PID USER PR NI VIRT RES > SHR S %CPU %MEM TIME+ COMMAND > > 3623 www-data 20 0 27560 1348 916 S > 99.1 0.3 651:34.55 rsyslogd > > 25263 root 20 0 2448 1156 896 > R 0.3 0.2 0:00.01 top > > 1 root 20 0 2032 580 > 552 S 0.0 0.1 0:02.28 > init > > 2 root 20 0 0 0 > 0 S 0.0 0.0 0:00.00 > kthreadd > > 3 root RT 0 0 0 > 0 S 0.0 0.0 > 0:00.00 migration/0 > > 4 root 20 0 0 0 > 0 S 0.0 0.0 0:00.13 > ksoftirqd/0 > > > > > > Her gün tanimli cron job'u siliyorum. www-data kullanicisinin sifresini > degistirdim. Bir türlü sonuc alamiyorum. Bu konuda bana yardimci olabilir > misiniz? > > > > Gamze Tepe > > _______________________________________________ > Linux-guvenlik mailing list > Linux-guvenlik@liste.linux.org.tr > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > -- Gökhan KARAKAŞ gsm +90 506 904 90 59
_______________________________________________ Linux-guvenlik mailing list Linux-guvenlik@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
