URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65806
[ Назад ]

Исходное сообщение
"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено pwd , 20-Апр-06 15:23

Господа, подскажите плиз - как закрыть эту дырку?
сегодня серверу плохо целый день
смотрю логи httpd-error.log
[Thu Apr 20 05:00:38 2006] [notice] Apache/1.3.31 (Unix) mod_jk/1.2.5 PHP/4.3.7 mod_ssl/2.8.18 OpenSSL/0.9.7d configured -- re
[Thu Apr 20 05:00:38 2006] [notice] Accept mutex: flock (Default: flock)
wget: not found
wget: not found
wget: not found
......

wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
так много записей.
потом идет рестарт апача
[Thu Apr 20 12:05:04 2006] [warn] child process 74947 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 85079 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 84760 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 39592 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 66401 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 73094 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 4512 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 26998 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 74515 still did not exit, sending a SIGTERM
..
[Thu Apr 20 12:05:14 2006] [notice] Apache/1.3.31 (Unix) mod_jk/1.2.5 PHP/4.3.7 mod_ssl/2.8.18 OpenSSL/0.9.7d configured -- re
[Thu Apr 20 12:05:14 2006] [notice] Accept mutex: flock (Default: flock)

--12:05:16--  http://www.precisa-se.com.br/images/linuxday.txt
           => `/tmp/.plain'
Преобразование адреса www.precisa-se.com.br... сделано.
Установка соединения с www.precisa-se.com.br[204.16.1.127]:80... соединились.
Запрос HTTP послан, ожидание ответа... 200 OK
Длина: 2,995 [text/plain]
    0K ..                                                    100%   15.72 KB/s
12:05:18 (15.72 KB/s) - `/tmp/.plain' saved [2995/2995]
--12:05:25--  http://www.precisa-se.com.br/images/linuxdaybot.txt
           => `/tmp/.plain2'
Преобразование адреса www.precisa-se.com.br... сделано.
Установка соединения с www.precisa-se.com.br[204.16.1.127]:80...
соединились.
Запрос HTTP послан, ожидание ответа...
200 OK
Длина: 18,850 [text/plain]
    0K .......... ........                                   100%   33.05 KB/s
12:05:26 (33.05 KB/s) - `/tmp/.plain2' saved [18850/18850]

это происходит много раз, потом апачу становится хреново
httpd in free(): warning: page is already free
httpd in free(): warning: page is already free
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
машина чуть живая...
после перезагрузки сервера
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory

Не могу понять кто это вызывает. Интересно посмотреть на сами скрипты
http://www.precisa-se.com.br/images/linuxdaybot.txt
http://www.precisa-se.com.br/images/linuxday.txt
Что делать? Как закрыть эту дырку????

Содержание

какие-то левые скрипты на сервере. ломают? интересные логи,Al, 17:11 , 20-Апр-06
- какие-то левые скрипты на сервере. ломают? интересные логи,pwd, 17:14 , 20-Апр-06
  - какие-то левые скрипты на сервере. ломают? интересные логи,andr, 12:49 , 21-Апр-06
    - какие-то левые скрипты на сервере. ломают? интересные логи,lev, 17:57 , 04-Апр-07

Сообщения в этом обсуждении

"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено Al , 20-Апр-06 17:11

>Что делать? Как закрыть эту дырку????
Выкинуть phpBB

"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено pwd , 20-Апр-06 17:14

>
>>Что делать? Как закрыть эту дырку????
>
>Выкинуть phpBB
это из-за него? на сервере несколько виртуальных хостов, я так и не понял КТО из них это делает..
спасибо за совет.

"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено andr , 21-Апр-06 12:49

>>
>>>Что делать? Как закрыть эту дырку????
>>
>>Выкинуть phpBB
>
>это из-за него? на сервере несколько виртуальных хостов, я так и не
>понял КТО из них это делает..
>
>спасибо за совет.
http://www.precisa-se.com.br/images/linuxdaybot.txt
по этой ссылке нод32 ругается на Perl/Shellbot.A троян

"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено lev , 04-Апр-07 17:57

помогите тоже, пожалуйста.
такая же проблема, глянул error-log:
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
..
и виснит..
только не могу узнать, какой и чей скрипт это делает =(