abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 6
včera 07:22 | Pozvánky

Konference InstallFest 2018 proběhne o víkendu 3. a 4. března 2018 v Praze na Karlově náměstí 13. Spuštěno bylo CFP. Přihlásit přednášku nebo workshop lze do 18. ledna 2018.

Ladislav Hagara | Komentářů: 0
12.12. 20:22 | Nová verze

Před měsícem byla vydána Fedora 27 ve dvou edicích: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server byl "vzhledem k náročnosti přechodu na modularitu" vydán pouze v betaverzi. Finální verze byla naplánována na leden 2018. Plán byl zrušen. Fedora 27 Server byl vydán již dnes. Jedná se ale o "klasický" server. Modularita se odkládá.

Ladislav Hagara | Komentářů: 6
12.12. 10:22 | Zajímavý článek

Lukáš Růžička v článku Kuchařka naší Růži aneb vaříme rychlou polévku z Beameru na MojeFedora.cz ukazuje "jak si rychle vytvořit prezentaci v LaTeXu, aniž bychom se přitom pouštěli do jeho bezedných hlubin".

Ladislav Hagara | Komentářů: 13
12.12. 07:22 | Komunita

Od 26. do 29. října proběhla v Bochumi European Coreboot Conference 2017 (ECC'17). Na programu této konference vývojářů a uživatelů corebootu, tj. svobodné náhrady proprietárních BIOSů, byla řada zajímavých přednášek. Jejich videozáznamy jsou postupně uvolňovány na YouTube.

Ladislav Hagara | Komentářů: 0
11.12. 19:22 | Nová verze

Ondřej Filip, výkonný ředitel sdružení CZ.NIC, oznámil vydání verze 2.0.0 open source routovacího démona BIRD (Wikipedie). Přehled novinek v diskusním listu a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
11.12. 09:22 | Pozvánky

V Praze dnes probíhá Konference e-infrastruktury CESNET. Na programu je řada zajímavých přednášek. Sledovat je lze i online na stránce konference.

Ladislav Hagara | Komentářů: 2
9.12. 20:11 | Nová verze

Byl vydán Debian 9.3, tj. třetí opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.10, tj. desátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 12
9.12. 00:44 | Nová verze

Po 6 měsících vývoje od vydání verze 0.13.0 byla vydána verze 0.14.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 88 vývojářů. Přibylo 1 211 nových balíčků. Jejich aktuální počet je 6 668. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 4
8.12. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 5.9 byla vydána nová stabilní verze 5.10 toolkitu Qt. Přehled novinek na wiki stránce. Současně byla vydána nová verze 4.5.0 integrovaného vývojového prostředí (IDE) Qt Creator nebo verze 1.10 nástroje pro překlad a sestavení programů ze zdrojových kódů Qbs.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 976 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Apache si spouští proces KERNELUPGRADE

    10.6.2014 21:46 DeejayMac
    Apache si spouští proces KERNELUPGRADE
    Přečteno: 615×
    Zdravím. Cca 3 dny zpět mi vyskočilo vytížení serveru CENTOS 6.5 RHEL 6 na 100%. Když se podívám co tam běží, tak mi to píše:

    20818 apache 20 0 544m 5336 1136 S 353.8 0.1 4:36.22 kernelupgrade

    Když to killnu, tak se za chvíli nastartuje zase. Hledal jsem na google ale nenašel nic z čehož jsem zděšen. Dělal jsem restart systému, ale podle mě s funkci KERNEL UPGRADE to nemá nic společného, spíše nechápu to že to spouští apache. Má s tím někdo nějaké zkušenosti?

    Odpovědi

    okias avatar 10.6.2014 21:57 okias | skóre: 45 | blog: blog_
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    tak odhadem to vypadá na virus nebo spyware, pokud vědomě nevíš, že bys něco instaloval tohoto jména jako plugin apache.
    10.6.2014 22:07 DeejayMac
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Určitě ne, ale doistaloval jsem HTOP a vidím toto:

    28005 apache 20 0 544M 6812 1136 S 145. 0.2 0:34.31 ./kernelupgrade -B -o http://prx.hoseen454r.com:8332 -u funworks.9 -p passxxx
    10.6.2014 22:10 Sten
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Jo, tak to těží bitcoiny.
    10.6.2014 22:08 Sten
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Podle toho, jak to drtí CPU, to tipuju na něco, co posílá spam nebo těží bitcoiny. Pro víc informací by bylo potřeba vidět něco z /proc/$PID, třeba cmdline a maps. Pokud si s tím chcete hrát, ale nechcete, aby to něco dělalo, můžete to zkusit stopnout: kill -STOP $PID.
    10.6.2014 22:33 DeejayMac
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

    CMDLINE

    ./kernelupgrade.-B.-o.http://prx.hoseen454r.com:7332.-u.funworks.9.-p.passxxx.

     

    MAPS

    00400000-0048e000 r-xp 00000000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
    0068d000-00690000 rwxp 0008d000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
    012f5000-01316000 rwxp 00000000 00:00 0                                  [heap]
    34bb000000-34bb020000 r-xp 00000000 fd:01 261758                         /lib64/ld-2.12.so
    34bb21f000-34bb220000 r-xp 0001f000 fd:01 261758                         /lib64/ld-2.12.so
    34bb220000-34bb221000 rwxp 00020000 fd:01 261758                         /lib64/ld-2.12.so
    34bb221000-34bb222000 rwxp 00000000 00:00 0
    34bb400000-34bb58b000 r-xp 00000000 fd:01 261760                         /lib64/libc-2.12.so
    34bb58b000-34bb78a000 ---p 0018b000 fd:01 261760                         /lib64/libc-2.12.so
    34bb78a000-34bb78e000 r-xp 0018a000 fd:01 261760                         /lib64/libc-2.12.so
    34bb78e000-34bb78f000 rwxp 0018e000 fd:01 261760                         /lib64/libc-2.12.so
    34bb78f000-34bb794000 rwxp 00000000 00:00 0
    34bbc00000-34bbc17000 r-xp 00000000 fd:01 261763                         /lib64/libpthread-2.12.so
    34bbc17000-34bbe17000 ---p 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
    34bbe17000-34bbe18000 r-xp 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
    34bbe18000-34bbe19000 rwxp 00018000 fd:01 261763                         /lib64/libpthread-2.12.so
    34bbe19000-34bbe1d000 rwxp 00000000 00:00 0
    34bc000000-34bc007000 r-xp 00000000 fd:01 261785                         /lib64/librt-2.12.so
    34bc007000-34bc206000 ---p 00007000 fd:01 261785                         /lib64/librt-2.12.so
    34bc206000-34bc207000 r-xp 00006000 fd:01 261785                         /lib64/librt-2.12.so
    34bc207000-34bc208000 rwxp 00007000 fd:01 261785                         /lib64/librt-2.12.so
    34bd400000-34bd416000 r-xp 00000000 fd:01 261773                         /lib64/libresolv-2.12.so
    34bd416000-34bd616000 ---p 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
    34bd616000-34bd617000 r-xp 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
    34bd617000-34bd618000 rwxp 00017000 fd:01 261773                         /lib64/libresolv-2.12.so
    34bd618000-34bd61a000 rwxp 00000000 00:00 0
    7f9630000000-7f9630023000 rwxp 00000000 00:00 0
    7f9630023000-7f9634000000 ---p 00000000 00:00 0
    7f9634000000-7f9634021000 rwxp 00000000 00:00 0
    7f9634021000-7f9638000000 ---p 00000000 00:00 0
    7f963b2e9000-7f963b5ea000 rwxp 00000000 00:00 0
    7f963b5ea000-7f963b5ef000 r-xp 00000000 fd:01 261710                     /lib64/libnss_dns-2.12.so
    7f963b5ef000-7f963b7ee000 ---p 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
    7f963b7ee000-7f963b7ef000 r-xp 00004000 fd:01 261710                     /lib64/libnss_dns-2.12.so
    7f963b7ef000-7f963b7f0000 rwxp 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
    7f963b7f0000-7f963b7fc000 r-xp 00000000 fd:01 261716                     /lib64/libnss_files-2.12.so
    7f963b7fc000-7f963b9fc000 ---p 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
    7f963b9fc000-7f963b9fd000 r-xp 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
    7f963b9fd000-7f963b9fe000 rwxp 0000d000 fd:01 261716                     /lib64/libnss_files-2.12.so
    7f963b9fe000-7f963c000000 rwxp 00000000 00:00 0

     

    Proces jsem stopnul a vypadá to že už nenastartoval. Předtím když jsem ho udělal KILLALL -9 tak vždy nastartoval. O co se jedná?

    Jendа avatar 10.6.2014 22:41 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    O co se jedná?
    Někdo tě vyhackoval. Nejspíš přes nějaký děravý web, který hostuješ.
    Why did the multithreaded chicken cross the road? to To other side. get the
    10.6.2014 22:43 DeejayMac
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Sakra. Dá se zjistit z jakého to pochází? Mám jich tam asi 100. Stačila by mi doména nebo co ji spouští. Každopádně díky moc za info.
    Jendа avatar 10.6.2014 22:51 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Špatně. Nejlepší je vytvořit každé stránce/každému člověku zvláštního uživatele a spouštět PHP pod tímto uživatelem.

    Můžeš zkusit nějaké nepřímé indicie - najít tu binárku, najít v access logu username na ten Bitcoin pool…
    Why did the multithreaded chicken cross the road? to To other side. get the
    10.6.2014 22:53 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

    Skús zablokovať port cez iptables. Ďalej skús netstat -anvpe | pager. Hladaj port ktorý je uvedený v príkazovom riadku pre mining.

    sec.linuxpseudosec.sk
    10.6.2014 22:59 DeejayMac
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

    tcp        0      0 93.91.240.108:51223         62.113.238.98:7332          SPOJENO     48         15726523   29614/./kernelupgra
    tcp    28056      0 93.91.240.108:47247         62.113.238.98:1123          SPOJENO     48         15726526   29614/./kernelupgra

    To je jediné co jsem našel. Vím jen že uživatel je 48, ale jak ho identifikovat netuším. Zakázání portu by asi nepomohlo, protože dva řádky a každý má jiný.

    10.6.2014 23:18 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

    Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty. Skús nahodiť utilitu chkrootkit. Zrejme to bude binárka schovaná pomocou bodky pred názvom. ls -la by mal zobraziť všetky súbory vrátane skrytých. Pravdepodobne to bude niekde v adresároch webov. Pokiaľ viem ak nie je užívateľ root tak nemôže volne behať po adresároch.

    Ďalší krok je odzálohovať data a potom preinštalovať systém. Ak máš zálohy webov tak urob diff či nie je niečo pridané do súborov webu. Zatiaľ môžeš dať do firewallu nasledujúci príkaz iptables -I OUTPUT -p TCP -m owner --uid-owner 48 -j DROP.

    sec.linuxpseudosec.sk
    Jendа avatar 11.6.2014 00:09 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty.
    No pokud hostuje web a někdo mu vyownoval Apache/PHP, nemůže zafirewallovat Apache…

    Cesta k binárce by možná šla zjistit z /proc/PID/exe.
    Why did the multithreaded chicken cross the road? to To other side. get the
    10.6.2014 23:25 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

    00400000-0048e000 r-xp 00000000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade

    0068d000-00690000 rwxp 0008d000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade

    Tieto dva riadky hovoria, že škodlivá aplikácie je v /tmp/.ICE-unix.

    sec.linuxpseudosec.sk
    11.6.2014 10:57 Sten
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Uživatel 48 je Apache, to je vidět v topu.

    Celkem jednoduché řešení je zablokovat PHP spouštění aplikací tím, že nastavíte tohle
    11.6.2014 10:59 Sten
    Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE
    Potom, co tohle nastavíte, tak uvidíte v logu, které weby se to snaží spouštět

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.