O processo do Apache con.shs usando 100% de carga no CentOS. O que é isso?

Navegue suas respostas
1

Como pano de fundo, parece que nosso servidor foi infectado com algo e está sendo usado para abrir uma tonelada de conexões TCP em um grande intervalo se IPs. Estou na metade tentando descobrir como nosso servidor foi infectado agora; minha história de aflição foi descrita em 398639 para quem quiser alguma informação adicional.

O problema atual é que eu encontrei um comando do Apache "con.shs" que está ocupando 100% do nosso CPU (é definitivamente possível que esteja relacionado ao nosso comprometimento com o servidor).

A minha pergunta é se alguém sabe o que é "con.shs" e porque está a correr a 100%? Nenhuma pesquisa do Google retornou algo que possa ajudar.

Estamos executando o Centos 5.7 Final e o Apache 2.2.3 (com PHP e MySQL).

    
por dKen 14.06.2012 / 14:42

1 resposta

1

con.shs poderia ser apenas um nome aleatório escolhido pelo malware. Você tentou inspecionar o processo?

Use pgrep con.shs para encontrar a lista de PIDs e inspecionar o diretório /proc/<pid>/ - veja detalhes como exe (o que é o executável - infelizmente, eles o excluem às vezes) e talvez cwd (o que O diretório de trabalho do script é - na minha experiência, eles não se incomodam em executá-lo de algum lugar como / tmp). Outros arquivos ali também serão úteis, como cmdline .

Isso deve ajudá-lo a rastreá-lo, ver o que está acontecendo e impedir que ele volte.

    
por 14.06.2012 / 14:56

Tags

Haproxy e CNAME E-mail do Exchange 2010 encaminhar com filtro