Date: Sun, 12 Dec 2010 13:23:11 +0100 Subject: Re: Er min server blevet hacket? From: Claus Guttesen <none@kometen--gmail.com.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk
> ---------------------------------------
> kern.maxfiles limit exceeded by uid 125, please see tuning(7).
> ---------------------------------------
>
> Jeg kunne ikke logge på, ikke engang direkte på maskinen, og lavede
> derfor en genstart.
>
> Normalt ligger kern.openfiles på 600-700 men nu overstiger den pludselig
> kern.maxfiles som er 3400.
>
> fstat afslørede synderne:
>
> ---------------------------------------
> 1 USER CMD PID FD MOUNT INUM MODE SZ|DV R/W
> 987 root zgcqesjovzlqfeo 2710 320* internet stream tcp c31f4278-
> [...]
> 61 root jdauyqkcwxsowzx 2731 5* internet stream tcp c2fb84f0
> [...]
> 1280 root vopnnrxxixfneke 2709 18* internet stream tcp c3026000
> ---------------------------------------
>
> ...og her lidt fra `ps ax`:
>
> ---------------------------------------
> PID TT STAT TIME COMMAND
> 2709 ?? S 0:00.21 ./vopnnrxxixfneke
> 2710 ?? S 0:00.22 ./zgcqesjovzlqfeo
> 2731 ?? S 0:00.24 ./jdauyqkcwxsowzx
> ---------------------------------------
>
> Hvad hulan er det for nogle scripts?
>
> Så snart jeg stopper disse pids, falder kern.openfiles til normalen
> igen.
>
> Er der nogen der er inde og rode på min server? Hvad skal jeg kigge
> efter?
Har du tjekket postfix-listerne for at se, om der er huller i den
version du bruger?
-- regards ClausWhen lenity and cruelty play for a kingdom, the gentler gamester is the soonest winner.
Shakespeare
twitter.com/kometen
This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET