Heute Vormittag hab ich, wie jeden Tag, auf meinem NAS eine Update Anfrage gestellt. Da alles aktuell, habe ich mich zum Benutzer abgemeldet.
Wie üblich stelle ich die Abfrage pstree, um zu sehen ob auch alle Server laufen.
Danach führe immer top aus, um zu sehen, ob es ungewöhnlich hohe Lasten bei den Prozessen gibt.
Ich stellte ungewöhnlich hohe Lasten beim Apache2, php und mysql fest. Ich ging wieder auf root und it dem auf /var/log/apache2
Dort führte ich
Code: Alles auswählen
tail -F access.log ausSpäter kam dann noch einer aus Bulgarien hinzu (3 Zugriffe pro Sekunde).
Beide sind auf die Wordpress Login Seite losgegangen (POST).
Ich habe jetzt beide IPs per iptables geblockt.
Das habe ich in all den Jahren, die ich diese Webseiten hoste, noch nie beobachten können.
Gibt es ein Paket, dass solche Vorgänge registriert und meldet?
