Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Zawiesznie sieciówki
http://forum.freesco.pl/viewtopic.php?f=22&t=18484
Strona 1 z 1

Autor:  task [ piątek, 28 stycznia 2011, 14:44 ]
Tytuł:  Zawiesznie sieciówki

Mam taki problem że co kilka godzin czasami co pół zawiesza mi się połączanie między modemem a NND zmieniłem sieciówki oraz modem niestety ciągle to samo.

Na MRTG na maksa rośnie eth0 i procesor
Pomaga restart serwera i modemu (kontrolki mrugają jak szalone )

Co to morze być ?

top pokazuje jakiś proces ale nie ma nazwy tylko samo S

Obrazek

Autor:  Maciek [ piątek, 28 stycznia 2011, 15:27 ]
Tytuł: 

Po pierwsze nie wstawiaj tak dużych rysunków, można to było skadrować. Więc proszę o zmniejszenie.
Po drugie miałeś włamanie i twój eserwer jes zombie, który coś wysyła/pobiera za pomocą programu umieszczczonego w /tmp lub /var/tmp - powoduje to wysycenie łącza i wzrost obciążenia systemu.
Po trzecie, jeśli tak nie jest, to wtedy będziemy się zastanawiać nad kolejnymi działaniami.

Autor:  task [ piątek, 28 stycznia 2011, 19:03 ]
Tytuł: 

Dziękuje za odpowiedź.

Oto co znajduje się w katalogu \Var

Obrazek



Obrazek

Czyli włam ? jeśli tak co teraz, da się to jakoś uprzątnąć ?

Jeśli to pomoże to posiadam obraz systemu zrobiony jakąś darmowa dystrybucja linuxa z przed kilku miesięcy (może nie zainfekowaną)

Na serwerze hulała na okrągło stronka na joomli oraz w sieci lokalnej Samba

Czy infekcja mogla nastąpić przez Joomle ( nie odpowiednie prawa do katalogów)

Zastanawia mnie jedno pliki są z datą 2009 wiec sobie już tam sporo czasu leżą i do tego momentu nie było problemów

Autor:  Maciek [ piątek, 28 stycznia 2011, 19:30 ]
Tytuł: 

Infekcja prawie na pewno dostała się przez Joomlę. To najbardziej dziurawy silnik PHP. Data plików nie jest parametrem krytycznym.
Co można zrobić? W zasadzie najbezpieczniej przeinstalować system od zera.
Być moze dzis masz już rootkita i ktoś zna twoje hasła.
Sądząc jednak po agresywnym wykorzystaniu włamania, to masz do czynienia z głupolem, który stosuje gotowce.
Wykasować wszystko w /tmp i w /var/tmp, zrestartowac system i wywalić Joomlę (przedtem). W plikach Joomli byc może są dopiski i przez tę dziurę ktoś dalej będzie właził.

Autor:  task [ piątek, 28 stycznia 2011, 19:43 ]
Tytuł: 

Dzięki Macku przynajmniej wiem na czym stoję.

Co do joomli to ciężko będzie ją wyrzucić strona jest dość rozbudowana po paru latach aktualizacji. :?

Autor:  Maciek [ sobota, 29 stycznia 2011, 00:21 ]
Tytuł: 

Zainteresuj się ZB Block.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/