Subject: Er min server blevet hacket? From: Jette Derriche <none@bsd-dk--nerdgirl.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Date: Sun, 12 Dec 2010 12:25:43 +0100
For et par dage siden kunne jeg pludselig ikke hente post fra min
server, og da jeg kiggede efter, fik jeg en hel masse af dem her:
---------------------------------------
kern.maxfiles limit exceeded by uid 125, please see tuning(7).
---------------------------------------
Jeg kunne ikke logge på, ikke engang direkte på maskinen, og lavede
derfor en genstart.
Normalt ligger kern.openfiles på 600-700 men nu overstiger den pludselig
kern.maxfiles som er 3400.
fstat afslørede synderne:
---------------------------------------
1 USER CMD PID FD MOUNT INUM MODE SZ|DV R/W
987 root zgcqesjovzlqfeo 2710 320* internet stream tcp c31f4278-
[...]
61 root jdauyqkcwxsowzx 2731 5* internet stream tcp c2fb84f0
[...]
1280 root vopnnrxxixfneke 2709 18* internet stream tcp c3026000
---------------------------------------
...og her lidt fra `ps ax`:
---------------------------------------
PID TT STAT TIME COMMAND
2709 ?? S 0:00.21 ./vopnnrxxixfneke
2710 ?? S 0:00.22 ./zgcqesjovzlqfeo
2731 ?? S 0:00.24 ./jdauyqkcwxsowzx
---------------------------------------
Hvad hulan er det for nogle scripts?
SÃ¥ snart jeg stopper disse pids, falder kern.openfiles til normalen
igen.
Er der nogen der er inde og rode på min server? Hvad skal jeg kigge
efter?
/Jette
This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET