[erledigt] Woher kommt der dienst und was macht er ?

klagges · Beitrag von **klagges** » 29.12.2006 14:30:39

Hi,
ich habe einen Vserver auf dem Debian (sarge). Nach den letzten security updates habe ich einen Prozess laufen

ps -ax

 9670 ?        S      1:02 ./i686

Leider habe ich keine ahnung woher er kommt

laut top

Code: Alles auswählen

 9670 www-data  16   0  2048 1136 1544 S  0.0  0.0   1:02.57 i686

läuft er als www-data.

Weis von euch jemand um was es sich da handelt ? Oder wie ich das heraus bekomme ?
Kommt das wirklich von den security updates oder ist da was im busch?

mfg Klagges

Beitrag von **KBDCALLS** » 29.12.2006 14:36:05

Das dürfte der Apache sein.

klagges · Beitrag von **klagges** » 29.12.2006 16:11:48

meinst du wirklich ? Hier nochmal der Komplette auszug von ps -ax
Weil apache 2 habe ich auch aber das ein Prozess .i686 heisst habe ich noch nicht gesehen.
Habe mal davor und danach eine freizeile eingefügt.

Code: Alles auswählen

ps -ax
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:24 init [2]
11539 ?        Ss     0:00 /sbin/portmap
11973 ?        Ss     0:51 /sbin/syslogd
12066 ?        Ss     0:00 /sbin/klogd
18163 ?        Ss     0:00 /usr/bin/freshclam -d --quiet -p /var/run/clamav/freshclam.pid
25626 ?        Ss     0:00 /sbin/rpc.statd
16056 ?        Ss     0:13 /usr/sbin/inetd
22270 ?        SN     0:03 ./server_linux -PID=tsserver2.pid
22331 ?        S      0:01 ./server_linux -PID=tsserver2.pid
22332 ?        S      1:49 ./server_linux -PID=tsserver2.pid
22337 ?        S      2:15 ./server_linux -PID=tsserver2.pid
22338 ?        S      0:55 ./server_linux -PID=tsserver2.pid
23808 ?        S      0:01 ./server_linux -PID=tsserver2.pid
23809 ?        S      0:44 ./server_linux -PID=tsserver2.pid
23810 ?        S      0:44 ./server_linux -PID=tsserver2.pid
23811 ?        S      0:06 ./server_linux -PID=tsserver2.pid
 3330 ?        Ss     0:19 /usr/sbin/sshd
18267 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe
18332 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe
18333 ?        S      0:09 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-lock
18334 ?        S      0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
 7793 ?        Ss     0:05 /usr/sbin/cron
16240 ?        SNs    0:01 /usr/sbin/spamd --create-prefs --max-children 1 --helper-home-dir -d --pidfile=/var/run/spamd.pid
17435 ?        Ss     0:04 /usr/sbin/exim4 -bd -q30m
19642 ?        Ss     0:03 /usr/bin/freshclam -d --quiet -p /var/run/clamav/freshclam.pid
20442 ?        Ss     4:12 /usr/sbin/clamd
22355 ?        Ss     0:06 /usr/sbin/nscd
22435 ?        Ss     0:00 /usr/sbin/saslauthd -n 1 -a pam
13578 ?        Ss     0:21 apache2
13586 ?        S      0:10 /usr/bin/perl /usr/local/confixx/pipelog.pl
 9273 ?        SN     1:09 spamd child

 9670 ?        S      1:02 ./i686

nepos · Beitrag von **nepos** » 29.12.2006 17:04:39

Hm, was sagt ein

Code: Alles auswählen

lsof -p 9670

klagges · Beitrag von **klagges** » 29.12.2006 19:28:46

Alles klar danke das gab aufschluss
l

Code: Alles auswählen

sof -p 9670
COMMAND  PID     USER   FD   TYPE     DEVICE    SIZE       NODE NAME
i686    9670 www-data  cwd    DIR    145,164    2048   32186468 /var/www/web1/html/computer/administrator/components/com_remository/...
i686    9670 www-data  rtd    DIR    145,164    2048   58507599 /
i686    9670 www-data  txt    REG    145,164  214225   32186629 /var/www/web1/html/computer/administrator/components/com_remository/.../i686
i686    9670 www-data  mem    REG    145,164   90248   54411423 /lib/ld-2.3.2.so
i686    9670 www-data  mem    REG    145,164   18876   50504062 /lib/tls/libcrypt-2.3.2.so
i686    9670 www-data  mem    REG    145,164 1254660   50504061 /lib/tls/libc-2.3.2.so
i686    9670 www-data    0u   CHR        1,3           58508754 /dev/null
i686    9670 www-data    1u   CHR        1,3           58508754 /dev/null
i686    9670 www-data    2u   CHR        1,3           58508754 /dev/null
i686    9670 www-data    3u  IPv4 3939565527                TCP *:www (LISTEN)
i686    9670 www-data    4r  FIFO        0,7         3939566610 pipe
i686    9670 www-data    5w  FIFO        0,7         3939566610 pipe
i686    9670 www-data    6w   REG    145,164  427101   38453267 /var/log/apache2/error.log
i686    9670 www-data    7w   REG    145,164   14853   38453273 /var/log/apache2/vs241146.vserver.de_error.log
i686    9670 www-data    8r  FIFO        0,7         3939566654 pipe
i686    9670 www-data    9w  FIFO        0,7         3939566654 pipe
i686    9670 www-data   10w   REG    145,164   19410   38453271 /var/log/apache2/vs241146.vserver.de_access.log
i686    9670 www-data   11w  FIFO        0,7         3939566654 pipe
i686    9670 www-data   12w   REG    145,164       0   38459727 /var/log/apache2/access.log
i686    9670 www-data   13w   REG    145,164       0   35545126 (deleted) /var/run/apache2/ssl_mutex.13366
i686    9670 www-data   14u  sock        0,4         4037457807 can't identify protocol
i686    9670 www-data   18u  IPv4 4149197152                TCP vs241146.vserver.de:57607->ignoro.tutti-i.ping6.info:afs3-fileserver (ESTABLISHED)
vs241146:~#

Da hat einer mein Joomla geknackt

Habe erstmal alles scripte verschoben die ich gefunden habe. (incl .i686 ), Joomla gesperrt. Und gehe jetzt mal auf suche nach weitern ungereimtheiten. Hat der doch nen italienischen DVD Rip auf meinem Server liegen. und Was meine Stats angeht ca 33 GB Traffic.

Also erstmal danke euch. lsof war mir noch unbekannt.

mfg Klagges