Toon posts:

[Linux] Gehacke apache server.

Pagina: 1
Acties:

vrijdag 22 februari 2008 15:05

Acties:
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06-2025

battler

Topicstarter
Ik moet even tijdelijk een apache webserver in leven houden tot dat de systeembeheerder er is.
Het gaat om een Fedora systeem. Het lijkt erop dat er door middel van exploits is ingebroken op de server. Nu worden er meerdere website's gehost. Door dat apache zoveel processen start is de bak nu ontzettend traag. Hoe zorg ik ervoor dat die processen niet meer worden gestart?
regel uit de log: a
apache 10491 0.0 1.7 106392 17944 ? S 15:00 0:00 /usr/sbin/httpd -DHAVE_MIME -DHAVE_INFO -DHAVE_FRONTPAGE -DHAVE_PROXY -DHAVE_REWRITE -DHAVE_A
apache 10509 0.0 1.7 106392 17936 ? S 15:00 0:00 /usr/sbin/httpd -

De processen blijven maar komen. Kan ik ergens zien, hoe en van waar die processen worden gestart?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

vrijdag 22 februari 2008 15:08

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Misschien niet het antwoord waar je op hoopt, maar IMHO veruit de beste oplossing gezien je vraag: trek de UTP kabel er uit (of sluit de boel af) en wacht tot er iemand bij komt die de boel opnieuw en nu wel veilig komt inrichten..

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 22 februari 2008 15:12

Acties:
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Er zal een proces draaien dat apache processen opstart. Die moet je killen. Zoek naar een proces dat onder dezelfde user draait als apache (www-data ofzoiets) en kill het. Als dat niet werkt, moet je naar root en andere processen kijken maar dat zijn er nogal wat.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 22 februari 2008 15:17

Acties:

Verwijderd

F_J_K schreef op vrijdag 22 februari 2008 @ 15:08:
Misschien niet het antwoord waar je op hoopt, maar IMHO veruit de beste oplossing gezien je vraag: trek de UTP kabel er uit (of sluit de boel af) en wacht tot er iemand bij komt die de boel opnieuw en nu wel veilig komt inrichten..
Lijkt me geen oplossing zonder eerst even iedereen die hosting heeft op de server even een mailtje te sturen... Anders staat de helpdesk ook binnen de kortste keren roodgloeiend.

vrijdag 22 februari 2008 15:18

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Het lijkt erop dat jouw redenatie als volgt gaat: bak is traag, er zijn veel processen, dus is er (via een exploit) gekraakt. Dat hoeft natuurlijk helemaal niet zo te zijn. Als de bak echt gekraakt is zou ik 'm, zoals F_J_K al schrijft, van internet afhalen (en het liefst ook van het productienetwerk). Daarna kan je eens gaan onderzoeken.

Apache start zelf ook processen op als er requests zijn. Het aantal van deze processen kan je reguleren met statements in de Apache configuratie.

Maar het is me nog niet duidelijk dat /usr/sbin/httpd ook Apache is. Dat kan best hoor, maar als een proces onder de userid apache draait hoeft het nog geen Apache te zijn.

vrijdag 22 februari 2008 15:23

Acties:
  • Kettrick
  • Registratie: Augustus 2000
  • Laatst online: 11:50

Kettrick

Rantmeister!

Apache threads worden normaan gesproken gestart door requests, dit lijkt mij dan ook meer een DOS attack dan een hack ?

hoeveel verkeer komt er naar voren in je access logs ?

vrijdag 22 februari 2008 16:56

Acties:
  • Kalentum
  • Registratie: Juni 2004
  • Laatst online: 13:55

Kalentum

battler schreef op vrijdag 22 februari 2008 @ 15:05:
De processen blijven maar komen. Kan ik ergens zien, hoe en van waar die processen worden gestart?
Wat je nog kan doen is apache wat conservatiever configureren. In de configuratiefile staan waarden die bepalen hoeveel processen er mogen lopen. Deze moet je dusdanig limiteren dat er nooit meer processen kunnen lopen dan dat je geheugen hebt. Als de machine gaat swappen staan die waarden te hoog. Het verlagen van het aantal clients van apache helpt de bereikbaarheid van apache niet maar wel van je machine.

Hoe dat precies moet is afhankelijk van de configuratie. Zie bv http://httpd.apache.org/d...pm_common.html#maxclients

[ Voor 3% gewijzigd door Kalentum op 22-02-2008 16:59 ]

vrijdag 22 februari 2008 17:03

Acties:
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06-2025

battler

Topicstarter
Allemaal bedankt voor jullie hulp, het was mooi geweest als ik 1 process kon killen.
Maar nu dit helaas niet het geval is, kon ik ook vrij weinig doen. Ik heb het dus overgelaten
aan de professionals (die daar ook voor zijn).

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq