[FUG-BR] Listen estranho do Apache
Enio Marconcini
eniorm em gmail.com
Terça Janeiro 31 08:57:26 BRST 2012
2012/1/30 Paulo Henrique <paulo.rddck em bsd.com.br>
> Em 30 de janeiro de 2012 23:09, Marcelo Gondim <gondim em bsdinfo.com.br
> >escreveu:
>
> > Em 30/01/2012 22:08, Enio Marconcini escreveu:
> > > 2012/1/30 André Otta<andreotta em gmail.com>
> > >
> > >> Boa noite!
> > >>
> > >> Ao meu ver:
> > >>
> > >> TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3
> > >> tcp4 6 *:80 *:*
> > >>
> > >> TCP 4 em qualquer porta e qualquer endereço: www httpd
> 37478
> > 4
> >
> > Enio faz um: procstat -f 37478
> > Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo
> > um bot.
> > Se for já sabes o que tem que fazer né? Pente fino em geral.
> >
> >
> Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se
> atentando a práticas de segurança durante a implementação é a melhor
> solução.
>
>
> !!!
>
> --
> :=)>BattleMaster<(=:
>
> Flamers > /dev/null !!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Bom dia Marcelo e Paulo, que zica einh
veja
procstat -f 42380
PID COMM FD T V FLAGS REF OFFSET PRO NAME
42380 httpd text v r r-------- - - -
/usr/local/sbin/httpd
42380 httpd cwd v d r-------- - - - /
42380 httpd root v d r-------- - - - /
42380 httpd 0 v c r-------- 5 0 - /dev/null
42380 httpd 1 v c -w------- 5 0 - /dev/null
42380 httpd 2 v r -wa------ 5 56619 -
/var/log/httpd-error.log
42380 httpd 3 s - rw------- 13 0 TCP ::.80 ::.0
42380 httpd 4 s - rw------- 5 0 TCP 0.0.0.0:0
0.0.0.0:0
42380 httpd 5 p - rw------- 9 0 -
42380 httpd 6 p - rw------- 5 0 -
42380 httpd 7 v r -wa------ 5 75305 -
/var/log/httpd-access.log
42380 httpd 8 v r rw------- 5 0 - /tmp/aprEjowAd
42380 httpd 9 v r -wa------ 5 13206181 -
/var/log/httpd-modrewrite.log
42380 httpd 10 v r rw------- 5 0 - -
42380 httpd 11 v r rw------- 5 0 - -
42380 httpd 12 v r rw------- 5 0 - -
42380 httpd 13 v r rw------- 5 0 - -
42380 httpd 14 v r rw------- 5 0 - -
42380 httpd 15 v r -w------- 5 0 - -
42380 httpd 16 v r -w------- 1 0 - /tmp/aprEjowAd
42380 httpd 17 k - rw------- 1 0 -
42380 httpd 21 ? - --------- 2 0 -
é o apache mesmo, não tem nada de excentrico acrescentado no apache, os
módulos eu desativei todos e deixei apenas os mais necessários, instalação
tudo via ports, até desativei o php_eaccelerator, mod_deflate e
mod_security (que foram os últimos ativados) porém continua a apresentar
aquela linha,
como mostrado em cima, tem essa linha apontando para o /tmp/aprE*
porem estes arquivos estão presentes, mas com 0byte
-rw------- 1 www wheel 0 Jan 24 14:17 apr7XFEWV
-rw------- 1 www wheel 0 Jan 16 10:49 aprEVwTS9
-rw------- 1 www wheel 0 Jan 31 08:33 aprEjowAd
-rw------- 1 www wheel 0 Jan 24 14:17 aprErjuTV
-rw------- 1 www wheel 0 Jan 24 14:17 aprj9YkfF
existe alguma forma mais aprofundada para se passar esse pente fino?
--
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
Mais detalhes sobre a lista de discussão freebsd