Подозрительный процесс на сервере

Аватар пользователя Tolstik

У приятеля на сервере, который выставлен в Инете, периодически обнаруживается весьма странный процесс:

vi ssl_engine_log

как бы не шалости хакеров :-o
Просмотр логов пока ничего вразумительного не дал.
Какова должна быть грамотная методика вычисления, кто и как запускает сей процесс?

Аватар пользователя keng00ru

Re: Подозрительный процесс на сервере

Если я хоть что-то понимаю, то процесс совсем не странный. Просто кто-то при помощи обычного vi просматривает файл регистрации SSL.
А SSL, кажется, отвечает за криптографическую защиту. (На заметку: Russian Apache отвратительно работает с mod_ssl. Зато легко и непринуждённо ломается. Показывает язык ).
Осталось только определить, кем из пользователей запущен этот процесс и дать любопытному по рогам. Как - не скажу. Улыбка Тут исхитряться надо через "левые" возможности Apache.

Аватар пользователя Tolstik

Re: Подозрительный процесс на сервере

2keng00ru: ты элегантно ответил на первую часть вопроса (что процесс не странный - ну это и коню было понятно, что кто-то виаем лазит), а также ценные рекомендации к найденному пользователю (дать по рогамм).
А средину (самое интересное!) - как вычислить этого лазальщика, почему-то оставил за кадром. :-?

Кстати, что навело тебя на мысль, что используется не обычный, а именно "Russian Apache" ? :-o

PS. На всякий случай для остальных: "странный" в том смысле, что хозяин сервака не лазил виаем, а процесс периодически самовольно возникал

Аватар пользователя keng00ru

Re: Подозрительный процесс на сервере

Цитата:
что навело тебя на мысль, что используется не обычный, а именно "Russian Apache" ?

Просто предположение. Нормальное русское желание читать по-русски толкает людей использовать заведомо худший софт, но на родном языке. Практика показывает... Но это я просто на заметку.

Цитата:
как вычислить этого лазальщика, почему-то оставил за кадром.

Потому, что штатными средствами Apache определить хакера, скорее всего, не реально. (Да и толку-то? Я бы проксями левыми пользовался.) А вот получить о нём кое-какую информацию точно можно. Но как это делается с той стороны Apache - извини, не знаю...

Аватар пользователя lystor

Re: Подозрительный процесс на сервере

А от чьего имени был запущен процесс?
ps aux | grep vi
первая колонка

Аватар пользователя PrairieWolf

Re: Подозрительный процесс на сервере

Цитата:
Tolstik пишет:
У приятеля на сервере, который выставлен в Инете, периодически обнаруживается весьма странный процесс:

vi ssl_engine_log

как бы не шалости хакеров :-o
Просмотр логов пока ничего вразумительного не дал.
Какова должна быть грамотная методика вычисления, кто и как запускает сей процесс?

Хотелось бы поинтересоваться у знатоков и просто пользователей Apache, можно ли его запускать в chroot jail?
И если можно, то наверное нестоит закидывать в это пространство ни шелов ни виаев.
Как вариант решения.

RSS-материал