LINUX.ORG.RU
ФорумSecurity

Появляются странные файлы на сервере


0

2

Привет, у меня на сервере появляются странные файлы. Находятся в каталоге одного из проектов (сайт), обычный пользователь туда добраться не может, из Apache тоже нет. ... Что это может быть?

-rw------- 1 root root 0 2011-08-27 08:20 3iGXEP
-rw------- 1 root root 0 2011-08-27 10:44 3l2LSg
-rw------- 1 root root 0 2011-08-27 08:56 3Mtl9A
-rw------- 1 root root 0 2011-08-27 05:42 3rZdLP
-rw------- 1 root root 0 2011-08-27 11:00 3ZbKQz
-rw------- 1 root root 0 2011-08-27 08:08 43SWke
-rw------- 1 root root 0 2011-08-27 11:10 4JgX5p
-rw------- 1 root root 0 2011-08-27 09:12 5lYWgv
-rw------- 1 root root 0 2011-08-27 09:48 5nHDFq
-rw------- 1 root root 0 2011-08-27 05:32 5pnBn6
-rw------- 1 root root 0 2011-08-27 11:30 5TwQJu
-rw------- 1 root root 0 2011-08-27 07:48 6e7W1m
-rw------- 1 root root 0 2011-08-27 08:34 79z8bh
-rw------- 1 root root 0 2011-08-27 08:32 7Un3to
-rw------- 1 root root 0 2011-08-27 08:38 85JjJ5
-rw------- 1 root root 0 2011-08-27 05:50 8BWldo
-rw------- 1 root root 0 2011-08-27 05:20 8Ncmvn
-rw------- 1 root root 0 2011-08-27 08:12 8OVHVJ
-rw------- 1 root root 0 2011-08-27 05:40 A6BAMy


ERROR: ecryptfs
Настройка iptabales на VPS (OpenVZ)

Натравите на эту директорию какой-нибудь inotifywait, прогоните chkrootkit.

AITap ★★★★★
()

Скорее всего это проделки веб-кодеров этого проекта. Создают файл и используют его как кеш или флаг.

koirn
()

Остатки временных файлов? Файлы-блокировки?

Deleted
()

ТЕБЯ ХАНУЛИ ЭТО ВИРОС СРОЧНА ПОСТАВЬ МАКСИМАЛЬНУЮ И КАСПЕРСКОГО!!!11111

anonymous
()
Ответ на: комментарий от koirn

Скорее всего да... rkhunter и chkrootkit ничего не нашли..

moskrc
() автор топика

Включай аудит и узнаешь кто их создает, че пишет...

Nefer
()

rkhunter и да, аудит или аккаунтинг какой-нибудь.

Othniel
()
29 сентября 2011 г.
Ответ на: комментарий от anykey_mlya

не уверен, но мастрер процесс/демон от рута и работает, а воркеры от всяких там www

Мм. Ты подумай хорошенько, кто скрипты выполняет.

power
()
Ответ на: комментарий от power

Я конечно извиняюсь, не уверен на 100% правильно ли я все понимаю.
Но как ещё ты будешь выполнять, скажем suphp (или другие cgi модули апача) без придания стартовому процессу апача хотя бы «формального» (через sudo или другой лимитирующий механизм механизм) статуса рутового процесса?

На личном сервере можно обойтись и без этого, а если хостинг, то как?

У меня просто на серверах апач не нужен, и его там уже долгие годы просто нет :)

winddos ★★★
()
Ответ на: комментарий от winddos

Но как ещё ты будешь выполнять

Все верно, никак. Сам сервер стартует с привилегиями суперпользователя.

Но системные модули типа suphp или suexec и пользовательские скрипты выполняются на разных уровнях.

power
()
Ответ на: комментарий от power

Ну я и не подразумевал, что файлы из под рута делают процессы без соответствующих привилегий.
А их назначение вопрос третий, мало ли какие модули у ТСа вкомпилены и включены.

winddos ★★★
()

Так что давай, во первых проверь кто именно будет создавать файлы впоследствии.
Во вторых оформи инфу об окружении:
- Какой дистрибутив и версия? Версия апача?
- Как ставил софт?
- Менял ли дефолтные конфиги апача?
- Нет ли никакой костылины типа DirectAdmin/etc?

winddos ★★★
()
Ответ на: комментарий от power

>> Ты подумай хорошенько, кто скрипты выполняет.

а ты подумай кто воркеры перезаскает

anykey_mlya
()
Ответ на: комментарий от koirn

-rw------- 1 root root

у него веб что, с правами рута работает?

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
ERROR: ecryptfs
Security
Настройка iptabales на VPS (OpenVZ)