abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
dnes 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 12
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 764 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Apache si spouští proces KERNELUPGRADE

10.6.2014 21:46 DeejayMac
Apache si spouští proces KERNELUPGRADE
Přečteno: 603×
Zdravím. Cca 3 dny zpět mi vyskočilo vytížení serveru CENTOS 6.5 RHEL 6 na 100%. Když se podívám co tam běží, tak mi to píše:

20818 apache 20 0 544m 5336 1136 S 353.8 0.1 4:36.22 kernelupgrade

Když to killnu, tak se za chvíli nastartuje zase. Hledal jsem na google ale nenašel nic z čehož jsem zděšen. Dělal jsem restart systému, ale podle mě s funkci KERNEL UPGRADE to nemá nic společného, spíše nechápu to že to spouští apache. Má s tím někdo nějaké zkušenosti?

Odpovědi

okias avatar 10.6.2014 21:57 okias | skóre: 45 | blog: blog_
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
tak odhadem to vypadá na virus nebo spyware, pokud vědomě nevíš, že bys něco instaloval tohoto jména jako plugin apache.
10.6.2014 22:07 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Určitě ne, ale doistaloval jsem HTOP a vidím toto:

28005 apache 20 0 544M 6812 1136 S 145. 0.2 0:34.31 ./kernelupgrade -B -o http://prx.hoseen454r.com:8332 -u funworks.9 -p passxxx
10.6.2014 22:10 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Jo, tak to těží bitcoiny.
10.6.2014 22:08 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Podle toho, jak to drtí CPU, to tipuju na něco, co posílá spam nebo těží bitcoiny. Pro víc informací by bylo potřeba vidět něco z /proc/$PID, třeba cmdline a maps. Pokud si s tím chcete hrát, ale nechcete, aby to něco dělalo, můžete to zkusit stopnout: kill -STOP $PID.
10.6.2014 22:33 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

CMDLINE

./kernelupgrade.-B.-o.http://prx.hoseen454r.com:7332.-u.funworks.9.-p.passxxx.

 

MAPS

00400000-0048e000 r-xp 00000000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
0068d000-00690000 rwxp 0008d000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
012f5000-01316000 rwxp 00000000 00:00 0                                  [heap]
34bb000000-34bb020000 r-xp 00000000 fd:01 261758                         /lib64/ld-2.12.so
34bb21f000-34bb220000 r-xp 0001f000 fd:01 261758                         /lib64/ld-2.12.so
34bb220000-34bb221000 rwxp 00020000 fd:01 261758                         /lib64/ld-2.12.so
34bb221000-34bb222000 rwxp 00000000 00:00 0
34bb400000-34bb58b000 r-xp 00000000 fd:01 261760                         /lib64/libc-2.12.so
34bb58b000-34bb78a000 ---p 0018b000 fd:01 261760                         /lib64/libc-2.12.so
34bb78a000-34bb78e000 r-xp 0018a000 fd:01 261760                         /lib64/libc-2.12.so
34bb78e000-34bb78f000 rwxp 0018e000 fd:01 261760                         /lib64/libc-2.12.so
34bb78f000-34bb794000 rwxp 00000000 00:00 0
34bbc00000-34bbc17000 r-xp 00000000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbc17000-34bbe17000 ---p 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe17000-34bbe18000 r-xp 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe18000-34bbe19000 rwxp 00018000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe19000-34bbe1d000 rwxp 00000000 00:00 0
34bc000000-34bc007000 r-xp 00000000 fd:01 261785                         /lib64/librt-2.12.so
34bc007000-34bc206000 ---p 00007000 fd:01 261785                         /lib64/librt-2.12.so
34bc206000-34bc207000 r-xp 00006000 fd:01 261785                         /lib64/librt-2.12.so
34bc207000-34bc208000 rwxp 00007000 fd:01 261785                         /lib64/librt-2.12.so
34bd400000-34bd416000 r-xp 00000000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd416000-34bd616000 ---p 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd616000-34bd617000 r-xp 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd617000-34bd618000 rwxp 00017000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd618000-34bd61a000 rwxp 00000000 00:00 0
7f9630000000-7f9630023000 rwxp 00000000 00:00 0
7f9630023000-7f9634000000 ---p 00000000 00:00 0
7f9634000000-7f9634021000 rwxp 00000000 00:00 0
7f9634021000-7f9638000000 ---p 00000000 00:00 0
7f963b2e9000-7f963b5ea000 rwxp 00000000 00:00 0
7f963b5ea000-7f963b5ef000 r-xp 00000000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b5ef000-7f963b7ee000 ---p 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7ee000-7f963b7ef000 r-xp 00004000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7ef000-7f963b7f0000 rwxp 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7f0000-7f963b7fc000 r-xp 00000000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b7fc000-7f963b9fc000 ---p 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fc000-7f963b9fd000 r-xp 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fd000-7f963b9fe000 rwxp 0000d000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fe000-7f963c000000 rwxp 00000000 00:00 0

 

Proces jsem stopnul a vypadá to že už nenastartoval. Předtím když jsem ho udělal KILLALL -9 tak vždy nastartoval. O co se jedná?

Jendа avatar 10.6.2014 22:41 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
O co se jedná?
Někdo tě vyhackoval. Nejspíš přes nějaký děravý web, který hostuješ.
10.6.2014 22:43 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Sakra. Dá se zjistit z jakého to pochází? Mám jich tam asi 100. Stačila by mi doména nebo co ji spouští. Každopádně díky moc za info.
Jendа avatar 10.6.2014 22:51 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Špatně. Nejlepší je vytvořit každé stránce/každému člověku zvláštního uživatele a spouštět PHP pod tímto uživatelem.

Můžeš zkusit nějaké nepřímé indicie - najít tu binárku, najít v access logu username na ten Bitcoin pool…
10.6.2014 22:53 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Skús zablokovať port cez iptables. Ďalej skús netstat -anvpe | pager. Hladaj port ktorý je uvedený v príkazovom riadku pre mining.

sec.linuxpseudosec.sk
10.6.2014 22:59 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

tcp        0      0 93.91.240.108:51223         62.113.238.98:7332          SPOJENO     48         15726523   29614/./kernelupgra
tcp    28056      0 93.91.240.108:47247         62.113.238.98:1123          SPOJENO     48         15726526   29614/./kernelupgra

To je jediné co jsem našel. Vím jen že uživatel je 48, ale jak ho identifikovat netuším. Zakázání portu by asi nepomohlo, protože dva řádky a každý má jiný.

10.6.2014 23:18 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty. Skús nahodiť utilitu chkrootkit. Zrejme to bude binárka schovaná pomocou bodky pred názvom. ls -la by mal zobraziť všetky súbory vrátane skrytých. Pravdepodobne to bude niekde v adresároch webov. Pokiaľ viem ak nie je užívateľ root tak nemôže volne behať po adresároch.

Ďalší krok je odzálohovať data a potom preinštalovať systém. Ak máš zálohy webov tak urob diff či nie je niečo pridané do súborov webu. Zatiaľ môžeš dať do firewallu nasledujúci príkaz iptables -I OUTPUT -p TCP -m owner --uid-owner 48 -j DROP.

sec.linuxpseudosec.sk
Jendа avatar 11.6.2014 00:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty.
No pokud hostuje web a někdo mu vyownoval Apache/PHP, nemůže zafirewallovat Apache…

Cesta k binárce by možná šla zjistit z /proc/PID/exe.
10.6.2014 23:25 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

00400000-0048e000 r-xp 00000000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade

0068d000-00690000 rwxp 0008d000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade

Tieto dva riadky hovoria, že škodlivá aplikácie je v /tmp/.ICE-unix.

sec.linuxpseudosec.sk
11.6.2014 10:57 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Uživatel 48 je Apache, to je vidět v topu.

Celkem jednoduché řešení je zablokovat PHP spouštění aplikací tím, že nastavíte tohle
11.6.2014 10:59 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
Potom, co tohle nastavíte, tak uvidíte v logu, které weby se to snaží spouštět

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.