URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65806
[ Назад ]

Исходное сообщение
"какие-то левые скрипты на сервере. ломают? интересные логи"

Отправлено pwd , 20-Апр-06 15:23 
Господа, подскажите плиз - как закрыть эту дырку?

сегодня серверу плохо целый день

смотрю логи httpd-error.log

[Thu Apr 20 05:00:38 2006] [notice] Apache/1.3.31 (Unix) mod_jk/1.2.5 PHP/4.3.7 mod_ssl/2.8.18 OpenSSL/0.9.7d configured -- re
[Thu Apr 20 05:00:38 2006] [notice] Accept mutex: flock (Default: flock)
wget: not found
wget: not found
wget: not found
......


wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory

так много записей.
потом идет рестарт апача

[Thu Apr 20 12:05:04 2006] [warn] child process 74947 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 85079 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 84760 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 39592 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 66401 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 73094 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 4512 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 26998 still did not exit, sending a SIGTERM
[Thu Apr 20 12:05:04 2006] [warn] child process 74515 still did not exit, sending a SIGTERM
..
[Thu Apr 20 12:05:14 2006] [notice] Apache/1.3.31 (Unix) mod_jk/1.2.5 PHP/4.3.7 mod_ssl/2.8.18 OpenSSL/0.9.7d configured -- re
[Thu Apr 20 12:05:14 2006] [notice] Accept mutex: flock (Default: flock)


--12:05:16--  http://www.precisa-se.com.br/images/linuxday.txt
           => `/tmp/.plain'
Преобразование адреса www.precisa-se.com.br... сделано.
Установка соединения с www.precisa-se.com.br[204.16.1.127]:80... соединились.
Запрос HTTP послан, ожидание ответа... 200 OK
Длина: 2,995 [text/plain]

    0K ..                                                    100%   15.72 KB/s

12:05:18 (15.72 KB/s) - `/tmp/.plain' saved [2995/2995]

--12:05:25--  http://www.precisa-se.com.br/images/linuxdaybot.txt
           => `/tmp/.plain2'
Преобразование адреса www.precisa-se.com.br... сделано.
Установка соединения с www.precisa-se.com.br[204.16.1.127]:80...
соединились.
Запрос HTTP послан, ожидание ответа...
200 OK
Длина: 18,850 [text/plain]

    0K .......... ........                                   100%   33.05 KB/s

12:05:26 (33.05 KB/s) - `/tmp/.plain2' saved [18850/18850]


это происходит много раз, потом апачу становится хреново

httpd in free(): warning: page is already free
httpd in free(): warning: page is already free
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call

машина чуть живая...
после перезагрузки сервера

Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory
wget: not found
Can't open perl script "/tmp/.plain2": No such file or directory


Не могу понять кто это вызывает. Интересно посмотреть на сами скрипты

http://www.precisa-se.com.br/images/linuxdaybot.txt
http://www.precisa-se.com.br/images/linuxday.txt

Что делать? Как закрыть эту дырку????


Содержание

Сообщения в этом обсуждении
"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено Al , 20-Апр-06 17:11 

>Что делать? Как закрыть эту дырку????

Выкинуть phpBB


"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено pwd , 20-Апр-06 17:14 
>
>>Что делать? Как закрыть эту дырку????
>
>Выкинуть phpBB

это из-за него? на сервере несколько виртуальных хостов, я так и не понял КТО из них это делает..

спасибо за совет.


"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено andr , 21-Апр-06 12:49 
>>
>>>Что делать? Как закрыть эту дырку????
>>
>>Выкинуть phpBB
>
>это из-за него? на сервере несколько виртуальных хостов, я так и не
>понял КТО из них это делает..
>
>спасибо за совет.

http://www.precisa-se.com.br/images/linuxdaybot.txt

по этой ссылке нод32 ругается на Perl/Shellbot.A троян


"какие-то левые скрипты на сервере. ломают? интересные логи"
Отправлено lev , 04-Апр-07 17:57 

помогите тоже, пожалуйста.
такая же проблема, глянул error-log:
httpd in free(): warning: recursive call
httpd in free(): warning: recursive call
..
и виснит..
только не могу узнать, какой и чей скрипт это делает =(