Ale mozna nechapu jaky problem resis, protoze je velmi vagne popsany -
a navic terminem (dynamicke pravidlo), ktery ma svuj definovany
vyznam, bohuzel ale jiny. ZKus trochu lepe objasnit co myslis temi
"dynamickymi pravidly" a pak se uvidi, jestli s euvidi nebo se neuvidi
co s tim delat.
Ahoj,
děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu
se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat
generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1
podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na d
Pokud udělám "killall -9 perl5.8.8", vše je ok asi tak na hodinu. Poté se
proces zase objeví, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se
zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten
zdrojovy soubor, kde se fyzicky nachazi. Zkous
he he nekdo si pomoci tveho webu odesila spam?
podstata je celkem jednoducha - nekde mas povolenej include a "utocnikovi"
se podari includnout neco co jsi necekal.
A proc ten soubor nemuzes najit?
Nejjednodussi je ho spustit a pak ho proste smazat - potom bude existovat,
ale uz neexistuje jeho
Ahoj,
Cizek.Milan wrote:
děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu
se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat
generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1
podezrely soubor, jehoz nazev je vzdy j
On Wed, 27 May 2009 10:02:32 +0200, Jaroslav Votruba
wrote:
mozna je to blbost, ale nemuze togenerovat a spoustet nejakej php
script? Tomu by odpovidal ten uzivatel www
Toto je najpravdepodobnejsia pricina, uz som mal podobny problem a stacilo
preliezt weby, zameriavaj sa na index.php,
Cizek.Milan wrote:
Ahoj,
děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu
se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat
generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1
podezrely soubor, jehoz nazev je vzdy jin
Ahoj,
Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs to
z ruky neumim.
tohle bohužel nějak nefunguje, jediné co v proc pod daným pid vidím je odkaz na
perl (symlink).
M.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
- Original Message -
Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs
to
z ruky neumim.
tohle bohužel nějak nefunguje, jediné co v proc pod daným pid vidím je
odkaz na perl (symlink).
no dalsi co tam najdes bude link na cwd a nevim jestli perl svuj zdrojak po
On Wed, May 27, 2009 at 09:55:22AM +0200, Cizek.Milan wrote:
> Ahoj,
> děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém
> intervalu se mi spouští nějaké perl skripty - pod uživatelem www, které podle
> sockstat generují trafic na smtp servery. Ve vypisu procesu je videt vzdy
On Wed, 27 May 2009, Jaroslav Votruba wrote:
>> Ale mozna nechapu jaky problem resis, protoze je velmi vagne popsany - a
>> navic
>> terminem (dynamicke pravidlo), ktery ma svuj definovany vyznam, bohuzel ale
>> jiny. ZKus trochu lepe objasnit co myslis temi "dynamickymi pravidly" a pak
>> se
>>
Ahoj,
> Remountni /tmp s noexec volbou a prelez logy apache.
tohle zabralo, alespoň se ten proces opakovaně nespouštěl.
> grep -ir include /var/log/apache
> grep -ir =http: /var/log/apache
> a deravy php skript musis mat za chvilku identifikovany.
Tak to se mi nedaří. Kde přesně hledat? Acces
On Wed, May 27, 2009 at 01:34:05PM +0200, Cizek.Milan wrote:
> Ahoj,
>
> > Remountni /tmp s noexec volbou a prelez logy apache.
>
> tohle zabralo, alespoň se ten proces opakovaně nespouštěl.
Tak to uz nechaj remountnute takto, ak to vyslovene nepotrebujes.
> > grep -ir include /var/log/apache
>
Cizek.Milan wrote:
vy php skript musis mat za chvilku identifikovany.
Tak to se mi nedaří. Kde přesně hledat? Access nebo error logy? Tak jako tak
tam nevidím nic divného. :-(
Milan
Skus httpd-access.log - inak kolko tam mas PHP aplikacii? Ak je to
nejaky hosting moze to byt hocico.
Analyzou packetu jsem zjistil ze mi Tomcat 5.5 rozdeluje dlouhe
odchozi hlavicky, lame je na 80znaku. Nelibi se to web prohlizecum.
Hlavicka pak vypada
Referer: http:/dasdasdasdasdasddsadasdasdasasd
[1 mezera]pokracovanihlavicky
\r\n
O multiline hlavickach jsem si precetl zde:
http://www.w3.org/
Ahoj,
podobny problem ma trapil ale z PHP. Nejaky html mal v sebe neziaduci
kus kodu php.
Ked sa spustil s urcitym parametrom tak si z vonku stiahol subor a
generoval spam, potom
po sebe vsetko upratal. Nasiel som ho prave podla uzivatela www.
Pokial web/php ma mat moznost posielat mail a bezia
Mozno neodpoviem tak ako autor dopytu ocakaval ...
Myslim, ze v tejto situacii by bolo najlepsie nehladat podozrivy PHP skript
ale ihned zakazat odchadzajuce spojenia na porty 25 a to samozrejme za
predpokladu, ze to neobmedzi prevadzku legitimnych aplikacii. V pripade ak
ano, bloknut to len p
Radim Kolar napsal/wrote, On 05/27/09 19:42:
O multiline hlavickach jsem si precetl zde:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.2
ale neni mi z te dokumentace jasne jak se maji spravne ty multiline
hlavicky dekodovat zda maji byt:
Ten odstavec zacina tim, ze se odvolava na
18 matches
Mail list logo
