On Thu, 2005-03-17 at 09:07, jeff ghislain wrote: > Bonjour. > > Quelqu'un aurait-il une explication sur les logs ci-dessous: > > [EMAIL PROTECTED] /]# ps aux > ... > www 310 0.0 0.1 1276 208 ? T 03:05 0:00 ./s > 67.159.27.67 53 > www 313 0.0 0.0 0 0 ? Z 03:05 0:00 [s <defunct>] > www 937 95.1 0.2 1284 364 ? R 03:18 327:32 ./s > 4.79.72.42 53 > www 938 0.0 0.1 1276 208 ? T 03:18 0:00 ./s > 4.79.72.42 53 > www 939 0.0 0.0 0 0 ? Z 03:18 0:00 [s <defunct>] > ...
Ben des process bizarres lancés par Apache, ça sent le hack via une page PHP ou un script Perl pas sécure... Et tu vois que le mec passe une IP (67.159.27.67, puis 4.79.72.42) et un port (53 : DNS) en paramètre, il y a donc fort à parier que c'est un outil pour lancer un déni de service. Il hack plein de machine comme la tienne, et bombarde les mêmes IP... Regarde ta bande passante, elle fait probablement des bonds en ce moment. Fabien Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
