[Comm] Re: Взлом?

[Michael Shigorin]

On Wed, Sep 28, 2005 at 04:26:37PM +0400, Алексей Данилович wrote:
> Возникла следующая проблема.
> netstat -ap
> стал выдавать звязь с компом в инете на странные порты вроде
> afs-server.... Просмотр программы по пиду, показал, что от
> имени апача запущен bash.  Возможна ли такая ситуация или это
> скорее всего сломали апач? И кто такой afs-server вообще?

Если апач текущий -- скорее пробили какую-то дрянь, которая 
на нём крутилась.  phpbb2 там или awstats.

> после убийства этого процесса коннекты пропали....

Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID 
и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/).

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       visit our conference (Oct 1):
--          http://conference.osdn.org.ua