Re: Er min server blevet hacket?

From: Claus Guttesen (none@kometen--gmail.com.lh.bsd-dk.dk)
Date: Sun 12 Dec 2010 - 13:23:11 CET 

Date: Sun, 12 Dec 2010 13:23:11 +0100
Subject: Re: Er min server blevet hacket?
From: Claus Guttesen <none@kometen--gmail.com.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk

> ---------------------------------------
> kern.maxfiles limit exceeded by uid 125, please see tuning(7).
> ---------------------------------------
>
> Jeg kunne ikke logge på, ikke engang direkte på maskinen, og lavede
> derfor en genstart.
>
> Normalt ligger kern.openfiles på 600-700 men nu overstiger den pludselig
> kern.maxfiles som er 3400.
>
> fstat afslørede synderne:
>
> ---------------------------------------
> 1   USER     CMD              PID   FD    MOUNT   INUM MODE SZ|DV R/W
> 987 root     zgcqesjovzlqfeo  2710  320* internet stream tcp c31f4278-
> [...]
>  61 root     jdauyqkcwxsowzx  2731    5* internet stream tcp c2fb84f0
> [...]
> 1280 root    vopnnrxxixfneke  2709   18* internet stream tcp c3026000
> ---------------------------------------
>
> ...og her lidt fra `ps ax`:
>
> ---------------------------------------
> PID   TT  STAT   TIME    COMMAND
> 2709  ??  S      0:00.21 ./vopnnrxxixfneke
> 2710  ??  S      0:00.22 ./zgcqesjovzlqfeo
> 2731  ??  S      0:00.24 ./jdauyqkcwxsowzx
> ---------------------------------------
>
> Hvad hulan er det for nogle scripts?
>
> Så snart jeg stopper disse pids, falder kern.openfiles til normalen
> igen.
>
> Er der nogen der er inde og rode på min server? Hvad skal jeg kigge
> efter?

Har du tjekket postfix-listerne for at se, om der er huller i den
version du bruger? 

-- 
regards
Claus

When lenity and cruelty play for a kingdom,
the gentler gamester is the soonest winner.

Shakespeare

twitter.com/kometen

This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET