inicia o httpd a partir da conta de um cliente

1

Estou executando um servidor web (apache, mysql, php, cpanel) e enfrentei um problema que alguns usuários iniciam o servidor httpd a partir de suas contas. Isso causa sobrecarga enorme.

Parte do comando ps auxf :

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND    
infor8 30135  0.0  0.0  28996  3372 ?        SN   08:42   0:00 /usr/sbin/httpd
infor8 30136  0.0  0.0  28996  3440 ?        SN   08:42   0:00 /usr/sbin/httpd
infor8 30137  0.0  0.0  28996  3364 ?        SN   08:42   0:00 /usr/sbin/httpd

Na verdade, existem centenas desses processos do usuário infor8 . Estou pesquisando de qual diretório o processo foi iniciado da seguinte maneira:

lsof -p 30135

perl    25631 infor8  cwd    DIR      8,3    4096 76735848 /home/infor8/public_html
perl    25631 infor8  rtd    DIR      8,3    4096        2 /
perl    25631 infor8  txt    REG      8,3 1184862 42976810 /usr/local/bin/perl
perl    25631 infor8  mem    REG      8,3   23736 63414584 /lib64/libnss_dns-2.5.so

Usando o scanner de malware 'maldet', eu encontrei (e removi) muitos arquivos como:

{HEX}php.sessmasq.renata.519 : ./images/a96b6.php
{HEX}php.sessmasq.renata.519 : ./images/7fec3.php
{HEX}php.sessmasq.renata.519 : ./images/b1d10.php

Alguém poderia ajudar como bloquear o apache em execução localmente a partir das contas dos clientes no servidor web?

Obrigado por qualquer ajuda.

Atualização:

Permissões para httpd:

root@server [~]# which /usr/sbin/httpd
/usr/sbin/httpd
root@server [~]# ll /usr/sbin/httpd
lrwxrwxrwx 1 root root 31 Jul 15  2008 /usr/sbin/httpd -> /usr/local/apache/bin/apachectl*
root@server [~]# ll /usr/local/apache/bin/apachectl
-rwxr-xr-x 1 root root 2971 Sep  9  2009 /usr/local/apache/bin/apachectl*
root@server [~]# 
    
por Andrew 23.05.2011 / 17:43

2 respostas

3

Alterar as permissões ou definir uma ACL no httpd seria a maneira mais simples.

    
por 23.05.2011 / 17:47
2

Você desejará remover a permissão de leitura, não apenas a permissão de execução. Só porque algo é chmod -x, não significa que você é incapaz de executá-lo - por exemplo:

tuttle@mrdo:/tmp/foo$ ls

hostname

tuttle@mrdo:/tmp/foo$ ls -l

total 16

-rw-r--r-- 1 tuttle tuttle 14688 2011-06-09 17:05 hostname

tuttle@mrdo:/tmp/foo$ ./hostname

bash: ./hostname: Permission denied

tuttle@mrdo:/tmp/foo$ /lib/ld-linux-x86-64.so.2 ./hostname

mrdo

    
por 10.06.2011 / 00:06

Tags