[FUG-BR] Listen estranho do Apache

Enio Marconcini eniorm em gmail.com
Terça Janeiro 31 14:26:00 BRST 2012


2012/1/31 Sergito <sergito.lista em gmail.com>

> ou algum desses processos estranhos.. (42380)
>
>
> Em 31 de janeiro de 2012 11:11, Sergito <sergito.lista em gmail.com>
> escreveu:
>
> > qual a saída para..  lsof -p 37478  ?
> >
> >
> >
> > Em 31 de janeiro de 2012 08:57, Enio Marconcini <eniorm em gmail.com
> >escreveu:
> >
> > 2012/1/30 Paulo Henrique <paulo.rddck em bsd.com.br>
> >>
> >> > Em 30 de janeiro de 2012 23:09, Marcelo Gondim <gondim em bsdinfo.com.br
> >> > >escreveu:
> >> >
> >> > > Em 30/01/2012 22:08, Enio Marconcini escreveu:
> >> > > > 2012/1/30 André Otta<andreotta em gmail.com>
> >> > > >
> >> > > >> Boa noite!
> >> > > >>
> >> > > >> Ao meu ver:
> >> > > >>
> >> > > >> TCP 4 e 6 em qualquer endereço porta 80:   www      httpd
> >>  37478 3
> >> > > >>   tcp4 6 *:80                  *:*
> >> > > >>
> >> > > >> TCP 4 em qualquer porta e qualquer endereço:  www      httpd
> >> >  37478
> >> > > 4
> >> > >
> >> > > Enio faz um: procstat -f 37478
> >> > > Pra ver o que tá rodando aí. Veja se não é algum programa em perl
> tipo
> >> > > um bot.
> >> > > Se for já sabes o que tem que fazer né? Pente fino em geral.
> >> > >
> >> > >
> >> > Pente fino, nesse caso creio que derrubar o servidor e fazer um noto
> se
> >> > atentando a práticas de segurança durante a implementação é a melhor
> >> > solução.
> >> >
> >> >
> >> > !!!
> >> >
> >> > --
> >> > :=)>BattleMaster<(=:
> >> >
> >> > Flamers > /dev/null !!!
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >>
> >>
> >>
> >> Bom dia Marcelo e Paulo, que zica einh
> >>
> >> veja
> >>
> >> procstat -f 42380
> >>  PID COMM               FD T V FLAGS     REF  OFFSET PRO NAME
> >> 42380 httpd            text v r r--------   -       - -
> >> /usr/local/sbin/httpd
> >> 42380 httpd             cwd v d r--------   -       - -   /
> >> 42380 httpd            root v d r--------   -       - -   /
> >> 42380 httpd               0 v c r--------   5       0 -   /dev/null
> >> 42380 httpd               1 v c -w-------   5       0 -   /dev/null
> >> 42380 httpd               2 v r -wa------   5   56619 -
> >> /var/log/httpd-error.log
> >> 42380 httpd               3 s - rw-------  13       0 TCP ::.80 ::.0
> >> 42380 httpd               4 s - rw-------   5       0 TCP 0.0.0.0:0
> >> 0.0.0.0:0
> >> 42380 httpd               5 p - rw-------   9       0 -
> >> 42380 httpd               6 p - rw-------   5       0 -
> >> 42380 httpd               7 v r -wa------   5   75305 -
> >> /var/log/httpd-access.log
> >> 42380 httpd               8 v r rw-------   5       0 -   /tmp/aprEjowAd
> >> 42380 httpd               9 v r -wa------   5 13206181 -
> >> /var/log/httpd-modrewrite.log
> >> 42380 httpd              10 v r rw-------   5       0 -   -
> >> 42380 httpd              11 v r rw-------   5       0 -   -
> >> 42380 httpd              12 v r rw-------   5       0 -   -
> >> 42380 httpd              13 v r rw-------   5       0 -   -
> >> 42380 httpd              14 v r rw-------   5       0 -   -
> >> 42380 httpd              15 v r -w-------   5       0 -   -
> >> 42380 httpd              16 v r -w-------   1       0 -   /tmp/aprEjowAd
> >> 42380 httpd              17 k - rw-------   1       0 -
> >> 42380 httpd              21 ? - ---------   2       0 -
> >>
> >> é o apache mesmo, não tem nada de excentrico acrescentado no apache, os
> >> módulos eu desativei todos e deixei apenas os mais necessários,
> instalação
> >> tudo via ports, até desativei o php_eaccelerator, mod_deflate e
> >> mod_security (que foram os últimos ativados) porém continua a apresentar
> >> aquela linha,
> >>
> >> como mostrado em cima, tem essa linha apontando para o /tmp/aprE*
> >> porem estes arquivos estão presentes, mas com 0byte
> >>
> >> -rw-------   1 www    wheel            0 Jan 24 14:17 apr7XFEWV
> >> -rw-------   1 www    wheel            0 Jan 16 10:49 aprEVwTS9
> >> -rw-------   1 www    wheel            0 Jan 31 08:33 aprEjowAd
> >> -rw-------   1 www    wheel            0 Jan 24 14:17 aprErjuTV
> >> -rw-------   1 www    wheel            0 Jan 24 14:17 aprj9YkfF
> >>
> >>
> >> existe alguma forma mais aprofundada para se passar esse pente fino?
> >>
> >> --
> >> *ENIO RODRIGO MARCONCINI*
> >> @eniomarconcini <http://twitter.com/eniomarconcini>
> >> skype: eniorm
> >> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
> >>
> >> *"H**ave a trouble with windows: reboot!*
> >>
> >> *Have a trouble with unix: be root!"*
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



Sergito, o resultado do lsof foi grande, colei aqui
http://pastebin.com/EGNDCxqV
Gondim, apesar do lsof não vir por padrão, pode-ser instalado
/usr/ports/sysutils/lsof
porém não costumo instalar, instalei apenas para ver.

procurei na net algo parecido, foi dificil encontrar alguma coisa, mas nos
textos não tem nada muito explicativo. Achei um caso igual a esse um cara
também quer saber o motivo do *:* no local address, caso queiram ver

http://www.mail-archive.com/freebsd-net@freebsd.org/msg33233.html

abraços


-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"H**ave a trouble with windows: reboot!*

*Have a trouble with unix: be root!"*


Mais detalhes sobre a lista de discussão freebsd