Re: [FUG-BR] Listen estranho do Apache
Bom dia pessoal, Dentro do arquivo de configuração do apache como está a diretiva LIsten ? Se estiver *:80 (por exemplo) ele vai escutar em todos os ips. Só deixa de fazer isso quando coloca 1.2.3.4:80 (ip:80). Forneça esse detalhe! Abs! -- Att. André Otta Em 30 de janeiro de 2012 23:17, Paulo Henrique paulo.rd...@bsd.com.brescreveu: Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
2012/1/30 Paulo Henrique paulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
qual a saída para.. lsof -p 37478 ? Em 31 de janeiro de 2012 08:57, Enio Marconcini eni...@gmail.com escreveu: 2012/1/30 Paulo Henrique paulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
ou algum desses processos estranhos.. (42380) Em 31 de janeiro de 2012 11:11, Sergito sergito.li...@gmail.com escreveu: qual a saída para.. lsof -p 37478 ? Em 31 de janeiro de 2012 08:57, Enio Marconcini eni...@gmail.comescreveu: 2012/1/30 Paulo Henrique paulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
Em 31/01/2012 11:11, Sergito escreveu: qual a saída para.. lsof -p 37478 ? Opa Sergito, lsof é no Linux. :) o equivalente no FreeBSD é o procstat -f proc_id Em 31 de janeiro de 2012 08:57, Enio Marconcinieni...@gmail.com escreveu: 2012/1/30 Paulo Henriquepaulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcinihttp://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcinihttp://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
[root@zeus ~]# uname -a FreeBSD zeus 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Feb 17 02:41:51 UTC 2011 r...@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64 [root@zeus ~]# lsof -p lsof: no process ID specified lsof 4.85 latest revision: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/ [root@zeus ~]# pkg_info |grep lsof lsof-4.85A,5Lists information about open files (similar to fstat(1)) Em 31 de janeiro de 2012 12:07, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 31/01/2012 11:11, Sergito escreveu: qual a saída para.. lsof -p 37478 ? Opa Sergito, lsof é no Linux. :) o equivalente no FreeBSD é o procstat -f proc_id Em 31 de janeiro de 2012 08:57, Enio Marconcinieni...@gmail.com escreveu: 2012/1/30 Paulo Henriquepaulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcinihttp://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcinihttp://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -
Re: [FUG-BR] Listen estranho do Apache
Em 31/01/2012 12:13, Sergito escreveu: [root@zeus ~]# uname -a FreeBSD zeus 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Feb 17 02:41:51 UTC 2011 r...@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64 [root@zeus ~]# lsof -p lsof: no process ID specified lsof 4.85 latest revision: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/ [root@zeus ~]# pkg_info |grep lsof lsof-4.85A,5Lists information about open files (similar to fstat(1)) Sim mas nesse caso você instalou o pacote lsof, o mesmo não vem como padrão e aí fica difícil pedir para alguém executar um comando que não existe por padrão no sistema. Nesse caso você teria então que dizer que é um pacote que pode ser instalado pelo ports ou binário. Mais fácil passar o comando nativo do sistema que no caso é o procstat. :) Em 31 de janeiro de 2012 12:07, Marcelo Gondimgon...@bsdinfo.com.brescreveu: Em 31/01/2012 11:11, Sergito escreveu: qual a saída para.. lsof -p 37478 ? Opa Sergito, lsof é no Linux. :) o equivalente no FreeBSD é o procstat -fproc_id Em 31 de janeiro de 2012 08:57, Enio Marconcinieni...@gmail.com escreveu: 2012/1/30 Paulo Henriquepaulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcinihttp://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcinihttp://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico:
Re: [FUG-BR] Listen estranho do Apache
2012/1/31 Sergito sergito.li...@gmail.com ou algum desses processos estranhos.. (42380) Em 31 de janeiro de 2012 11:11, Sergito sergito.li...@gmail.com escreveu: qual a saída para.. lsof -p 37478 ? Em 31 de janeiro de 2012 08:57, Enio Marconcini eni...@gmail.com escreveu: 2012/1/30 Paulo Henrique paulo.rd...@bsd.com.br Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Bom dia Marcelo e Paulo, que zica einh veja procstat -f 42380 PID COMM FD T V FLAGS REF OFFSET PRO NAME 42380 httpdtext v r r - - - /usr/local/sbin/httpd 42380 httpd cwd v d r - - - / 42380 httpdroot v d r - - - / 42380 httpd 0 v c r 5 0 - /dev/null 42380 httpd 1 v c -w--- 5 0 - /dev/null 42380 httpd 2 v r -wa-- 5 56619 - /var/log/httpd-error.log 42380 httpd 3 s - rw--- 13 0 TCP ::.80 ::.0 42380 httpd 4 s - rw--- 5 0 TCP 0.0.0.0:0 0.0.0.0:0 42380 httpd 5 p - rw--- 9 0 - 42380 httpd 6 p - rw--- 5 0 - 42380 httpd 7 v r -wa-- 5 75305 - /var/log/httpd-access.log 42380 httpd 8 v r rw--- 5 0 - /tmp/aprEjowAd 42380 httpd 9 v r -wa-- 5 13206181 - /var/log/httpd-modrewrite.log 42380 httpd 10 v r rw--- 5 0 - - 42380 httpd 11 v r rw--- 5 0 - - 42380 httpd 12 v r rw--- 5 0 - - 42380 httpd 13 v r rw--- 5 0 - - 42380 httpd 14 v r rw--- 5 0 - - 42380 httpd 15 v r -w--- 5 0 - - 42380 httpd 16 v r -w--- 1 0 - /tmp/aprEjowAd 42380 httpd 17 k - rw--- 1 0 - 42380 httpd 21 ? - - 2 0 - é o apache mesmo, não tem nada de excentrico acrescentado no apache, os módulos eu desativei todos e deixei apenas os mais necessários, instalação tudo via ports, até desativei o php_eaccelerator, mod_deflate e mod_security (que foram os últimos ativados) porém continua a apresentar aquela linha, como mostrado em cima, tem essa linha apontando para o /tmp/aprE* porem estes arquivos estão presentes, mas com 0byte -rw--- 1 wwwwheel0 Jan 24 14:17 apr7XFEWV -rw--- 1 wwwwheel0 Jan 16 10:49 aprEVwTS9 -rw--- 1 wwwwheel0 Jan 31 08:33 aprEjowAd -rw--- 1 wwwwheel0 Jan 24 14:17 aprErjuTV -rw--- 1 wwwwheel0 Jan 24 14:17 aprj9YkfF existe alguma forma mais aprofundada para se passar esse pente fino? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Sergito, o resultado do lsof foi grande, colei aqui http://pastebin.com/EGNDCxqV Gondim, apesar do lsof não vir por padrão, pode-ser instalado /usr/ports/sysutils/lsof porém não costumo instalar, instalei apenas para ver. procurei na net algo parecido, foi dificil encontrar alguma coisa, mas nos textos não tem nada muito explicativo. Achei um caso igual a esse um cara também quer saber o motivo do *:* no local address, caso queiram ver http://www.mail-archive.com/freebsd-net@freebsd.org/msg33233.html abraços -- *ENIO RODRIGO MARCONCINI*
Re: [FUG-BR] Listen estranho do Apache
Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 tcp4 **:* * *:* -- Att. André Otta Em 30 de janeiro de 2012 22:01, Enio Marconcini eni...@gmail.com escreveu: boa noite galera. Num FreeBSD 9.0Stable, notei uma linha assim no netstat -an tcp4 0 0 *.**.*CLOSED com o sockstat eu achei essas linhas relacionadas com o Apache arcturus# sockstat -4l | grep httpd www httpd 37478 3 tcp4 6 *:80 *:* www httpd 37478 4 tcp4 **:* * *:* www httpd 37477 3 tcp4 6 *:80 *:* www httpd 37477 4 tcp4 **:* * *:* www httpd 37476 3 tcp4 6 *:80 *:* www httpd 37476 4 tcp4 **:* * *:* www httpd 37475 3 tcp4 6 *:80 *:* www httpd 37475 4 tcp4 **:** *:* root httpd 19616 3 tcp4 6 *:80 *:* root httpd 19616 4 tcp4 **:** *:* vejam que a coluna que indica o endereço local, algumas estão indicando *:* que ao meu entender significa escutando em todo endereço local e porta? estou certo? o que isto representa? não sei se isto tem algo a ver com IPv6, está habilitado no kernel, porém não uso. alguém com mais experiência poderia me esclarecer? tipo, isso é normal ou não? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
2012/1/30 André Otta andreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 tcp4 **:* * *:* -- Att. André Otta Em 30 de janeiro de 2012 22:01, Enio Marconcini eni...@gmail.com escreveu: boa noite galera. Num FreeBSD 9.0Stable, notei uma linha assim no netstat -an tcp4 0 0 *.**.*CLOSED com o sockstat eu achei essas linhas relacionadas com o Apache arcturus# sockstat -4l | grep httpd www httpd 37478 3 tcp4 6 *:80 *:* www httpd 37478 4 tcp4 **:* * *:* www httpd 37477 3 tcp4 6 *:80 *:* www httpd 37477 4 tcp4 **:* * *:* www httpd 37476 3 tcp4 6 *:80 *:* www httpd 37476 4 tcp4 **:* * *:* www httpd 37475 3 tcp4 6 *:80 *:* www httpd 37475 4 tcp4 **:** *:* root httpd 19616 3 tcp4 6 *:80 *:* root httpd 19616 4 tcp4 **:** *:* vejam que a coluna que indica o endereço local, algumas estão indicando *:* que ao meu entender significa escutando em todo endereço local e porta? estou certo? o que isto representa? não sei se isto tem algo a ver com IPv6, está habilitado no kernel, porém não uso. alguém com mais experiência poderia me esclarecer? tipo, isso é normal ou não? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite André, também entendi igual você, só fiquei sem entender o motivo de escutar todas as portas, rs. O Apache está escutando todos os IPs do server, foi assim configurado. Porém conferi com um outro que eu tenho (quase o mesmo cenário) e o Apache só escuta a porta 80 de todos os IPs configurados nas NICs abraço -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. tcp4 **:* * *:* -- Att. André Otta Em 30 de janeiro de 2012 22:01, Enio Marconcinieni...@gmail.com escreveu: boa noite galera. Num FreeBSD 9.0Stable, notei uma linha assim no netstat -an tcp4 0 0 *.**.*CLOSED com o sockstat eu achei essas linhas relacionadas com o Apache arcturus# sockstat -4l | grep httpd www httpd 37478 3 tcp4 6 *:80 *:* www httpd 37478 4 tcp4 **:* * *:* www httpd 37477 3 tcp4 6 *:80 *:* www httpd 37477 4 tcp4 **:* * *:* www httpd 37476 3 tcp4 6 *:80 *:* www httpd 37476 4 tcp4 **:* * *:* www httpd 37475 3 tcp4 6 *:80 *:* www httpd 37475 4 tcp4 **:** *:* root httpd 19616 3 tcp4 6 *:80 *:* root httpd 19616 4 tcp4 **:** *:* vejam que a coluna que indica o endereço local, algumas estão indicando *:* que ao meu entender significa escutando em todo endereço local e porta? estou certo? o que isto representa? não sei se isto tem algo a ver com IPv6, está habilitado no kernel, porém não uso. alguém com mais experiência poderia me esclarecer? tipo, isso é normal ou não? -- *ENIO RODRIGO MARCONCINI* @eniomarconcinihttp://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcinihttp://www.facebook.com/eniomarconcini *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite André, também entendi igual você, só fiquei sem entender o motivo de escutar todas as portas, rs. O Apache está escutando todos os IPs do server, foi assim configurado. Porém conferi com um outro que eu tenho (quase o mesmo cenário) e o Apache só escuta a porta 80 de todos os IPs configurados nas NICs abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Listen estranho do Apache
Em 30 de janeiro de 2012 23:09, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 30/01/2012 22:08, Enio Marconcini escreveu: 2012/1/30 André Ottaandreo...@gmail.com Boa noite! Ao meu ver: TCP 4 e 6 em qualquer endereço porta 80: www httpd 37478 3 tcp4 6 *:80 *:* TCP 4 em qualquer porta e qualquer endereço: www httpd 37478 4 Enio faz um: procstat -f 37478 Pra ver o que tá rodando aí. Veja se não é algum programa em perl tipo um bot. Se for já sabes o que tem que fazer né? Pente fino em geral. Pente fino, nesse caso creio que derrubar o servidor e fazer um noto se atentando a práticas de segurança durante a implementação é a melhor solução. !!! -- :=)BattleMaster(=: Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
