Přihlášení | Registrace

napište » Zprávičky

včera 23:55 | Komunita

Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

včera 21:00 | Nová verze

Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Frugalware Linux ke konci roku 2025 oficiálně končí

včera 20:11 | Komunita

Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

Ladislav Hagara | Komentářů: 0

GIMP 3.0.6

včera 17:22 | Nová verze

Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

AMD uzavřela smlouvu o dodávkách čipů pro OpenAI

včera 16:11 | IT novinky

Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

Ladislav Hagara | Komentářů: 1

OpenSSH 10.1

včera 12:22 | Nová verze

Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z LinuxDays 2025

5.10. 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Turris Omnia NG

4.10. 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Ladislav Hagara | Komentářů: 35

Přímý přenos z LinuxDays 2025

4.10. 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 16

Soud zrušil rekordní pokutu pro Avast

3.10. 22:44 | IT novinky

V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

… více »

Ladislav Hagara | Komentářů: 11

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (45%)

Atlassian (15%)

Bitbucket (17%)

Gitea (22%)

Mercurial (15%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (15%)

Celkem 181 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Apache si spouští proces KERNELUPGRADE

Štítky: Apache, CentOS, distribuce, Google, kernel, proces, restart, RHEL, upgrade

Dotaz: Apache si spouští proces KERNELUPGRADE

10.6.2014 21:46 DeejayMac
Apache si spouští proces KERNELUPGRADE

Přečteno: 695×

Odpovědět | Admin

Příloha:

Snímek obrazovky 2014-06-10 v 21.45.45.png (369328 bytů)

Zdravím. Cca 3 dny zpět mi vyskočilo vytížení serveru CENTOS 6.5 RHEL 6 na 100%. Když se podívám co tam běží, tak mi to píše:

20818 apache 20 0 544m 5336 1136 S 353.8 0.1 4:36.22 kernelupgrade

Když to killnu, tak se za chvíli nastartuje zase. Hledal jsem na google ale nenašel nic z čehož jsem zděšen. Dělal jsem restart systému, ale podle mě s funkci KERNEL UPGRADE to nemá nic společného, spíše nechápu to že to spouští apache. Má s tím někdo nějaké zkušenosti?

Nástroje: Začni sledovat (0) ?

Odpovědi

10.6.2014 21:57 David Heidelberg | skóre: 46 | blog: blog_
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

tak odhadem to vypadá na virus nebo spyware, pokud vědomě nevíš, že bys něco instaloval tohoto jména jako plugin apache.

Mobilní telefony a tablety s GNU/Linuxem v roce 2020. Proč byste se měli zajímat?

10.6.2014 22:07 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Určitě ne, ale doistaloval jsem HTOP a vidím toto:

28005 apache 20 0 544M 6812 1136 S 145. 0.2 0:34.31 ./kernelupgrade -B -o http://prx.hoseen454r.com:8332 -u funworks.9 -p passxxx

10.6.2014 22:10 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Jo, tak to těží bitcoiny.

10.6.2014 22:08 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Podle toho, jak to drtí CPU, to tipuju na něco, co posílá spam nebo těží bitcoiny. Pro víc informací by bylo potřeba vidět něco z /proc/$PID, třeba cmdline a maps. Pokud si s tím chcete hrát, ale nechcete, aby to něco dělalo, můžete to zkusit stopnout: kill -STOP $PID.

10.6.2014 22:33 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

CMDLINE

./kernelupgrade.-B.-o.http://prx.hoseen454r.com:7332.-u.funworks.9.-p.passxxx.

MAPS

00400000-0048e000 r-xp 00000000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
0068d000-00690000 rwxp 0008d000 fd:01 1317898                            /tmp/.ICE-unix/kernelupgrade
012f5000-01316000 rwxp 00000000 00:00 0                                  [heap]
34bb000000-34bb020000 r-xp 00000000 fd:01 261758                         /lib64/ld-2.12.so
34bb21f000-34bb220000 r-xp 0001f000 fd:01 261758                         /lib64/ld-2.12.so
34bb220000-34bb221000 rwxp 00020000 fd:01 261758                         /lib64/ld-2.12.so
34bb221000-34bb222000 rwxp 00000000 00:00 0
34bb400000-34bb58b000 r-xp 00000000 fd:01 261760                         /lib64/libc-2.12.so
34bb58b000-34bb78a000 ---p 0018b000 fd:01 261760                         /lib64/libc-2.12.so
34bb78a000-34bb78e000 r-xp 0018a000 fd:01 261760                         /lib64/libc-2.12.so
34bb78e000-34bb78f000 rwxp 0018e000 fd:01 261760                         /lib64/libc-2.12.so
34bb78f000-34bb794000 rwxp 00000000 00:00 0
34bbc00000-34bbc17000 r-xp 00000000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbc17000-34bbe17000 ---p 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe17000-34bbe18000 r-xp 00017000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe18000-34bbe19000 rwxp 00018000 fd:01 261763                         /lib64/libpthread-2.12.so
34bbe19000-34bbe1d000 rwxp 00000000 00:00 0
34bc000000-34bc007000 r-xp 00000000 fd:01 261785                         /lib64/librt-2.12.so
34bc007000-34bc206000 ---p 00007000 fd:01 261785                         /lib64/librt-2.12.so
34bc206000-34bc207000 r-xp 00006000 fd:01 261785                         /lib64/librt-2.12.so
34bc207000-34bc208000 rwxp 00007000 fd:01 261785                         /lib64/librt-2.12.so
34bd400000-34bd416000 r-xp 00000000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd416000-34bd616000 ---p 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd616000-34bd617000 r-xp 00016000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd617000-34bd618000 rwxp 00017000 fd:01 261773                         /lib64/libresolv-2.12.so
34bd618000-34bd61a000 rwxp 00000000 00:00 0
7f9630000000-7f9630023000 rwxp 00000000 00:00 0
7f9630023000-7f9634000000 ---p 00000000 00:00 0
7f9634000000-7f9634021000 rwxp 00000000 00:00 0
7f9634021000-7f9638000000 ---p 00000000 00:00 0
7f963b2e9000-7f963b5ea000 rwxp 00000000 00:00 0
7f963b5ea000-7f963b5ef000 r-xp 00000000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b5ef000-7f963b7ee000 ---p 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7ee000-7f963b7ef000 r-xp 00004000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7ef000-7f963b7f0000 rwxp 00005000 fd:01 261710                     /lib64/libnss_dns-2.12.so
7f963b7f0000-7f963b7fc000 r-xp 00000000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b7fc000-7f963b9fc000 ---p 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fc000-7f963b9fd000 r-xp 0000c000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fd000-7f963b9fe000 rwxp 0000d000 fd:01 261716                     /lib64/libnss_files-2.12.so
7f963b9fe000-7f963c000000 rwxp 00000000 00:00 0

Proces jsem stopnul a vypadá to že už nenastartoval. Předtím když jsem ho udělal KILLALL -9 tak vždy nastartoval. O co se jedná?

10.6.2014 22:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

O co se jedná?

Někdo tě vyhackoval. Nejspíš přes nějaký děravý web, který hostuješ.

10.6.2014 22:43 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Sakra. Dá se zjistit z jakého to pochází? Mám jich tam asi 100. Stačila by mi doména nebo co ji spouští. Každopádně díky moc za info.

10.6.2014 22:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Špatně. Nejlepší je vytvořit každé stránce/každému člověku zvláštního uživatele a spouštět PHP pod tímto uživatelem.

Můžeš zkusit nějaké nepřímé indicie - najít tu binárku, najít v access logu username na ten Bitcoin pool…

10.6.2014 22:53 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Skús zablokovať port cez iptables. Ďalej skús netstat -anvpe | pager. Hladaj port ktorý je uvedený v príkazovom riadku pre mining.

Root v linuxe : "Root povedal, linux vykona."

10.6.2014 22:59 DeejayMac
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

tcp 0 0 93.91.240.108:51223 62.113.238.98:7332 SPOJENO 48 15726523 29614/./kernelupgra
tcp 28056 0 93.91.240.108:47247 62.113.238.98:1123 SPOJENO 48 15726526 29614/./kernelupgra

To je jediné co jsem našel. Vím jen že uživatel je 48, ale jak ho identifikovat netuším. Zakázání portu by asi nepomohlo, protože dva řádky a každý má jiný.

10.6.2014 23:18 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty. Skús nahodiť utilitu chkrootkit. Zrejme to bude binárka schovaná pomocou bodky pred názvom. ls -la by mal zobraziť všetky súbory vrátane skrytých. Pravdepodobne to bude niekde v adresároch webov. Pokiaľ viem ak nie je užívateľ root tak nemôže volne behať po adresároch.

Ďalší krok je odzálohovať data a potom preinštalovať systém. Ak máš zálohy webov tak urob diff či nie je niečo pridané do súborov webu. Zatiaľ môžeš dať do firewallu nasledujúci príkaz iptables -I OUTPUT -p TCP -m owner --uid-owner 48 -j DROP.

Root v linuxe : "Root povedal, linux vykona."

11.6.2014 00:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Aké služby poskytuješ ? Stačí zavrieť firewall tak, že povoliš vystupné pakety len na určité porty.

No pokud hostuje web a někdo mu vyownoval Apache/PHP, nemůže zafirewallovat Apache…

Cesta k binárce by možná šla zjistit z /proc/PID/exe.

10.6.2014 23:25 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

00400000-0048e000 r-xp 00000000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade
0068d000-00690000 rwxp 0008d000 fd:01 1317898 /tmp/.ICE-unix/kernelupgrade

Tieto dva riadky hovoria, že škodlivá aplikácie je v /tmp/.ICE-unix.

Root v linuxe : "Root povedal, linux vykona."

11.6.2014 10:57 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Uživatel 48 je Apache, to je vidět v topu.

Celkem jednoduché řešení je zablokovat PHP spouštění aplikací tím, že nastavíte tohle

11.6.2014 10:59 Sten
Rozbalit Rozbalit vše Re: Apache si spouští proces KERNELUPGRADE

Potom, co tohle nastavíte, tak uvidíte v logu, které weby se to snaží spouštět

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje