Apache startet Subprozesse

vb-server

Registered User
Hallo zusammen

seit ich meinen Monitoring-Server auf Jessie upgradet habe, hab ich das Problem, dass der Apache-Prozess ab und zu X instanzen von sh öffnet, welche danach als Zomie enden. Die Folge davon sind ausgelöste Alarme sowie SMS. Ich komme nicht weiter, ein strace auf diese Prozesse ergibt "Operation not permitted".

Killen kann ich diese Prozesse nicht, erst nach einem Apache-Restart verschwinden sie.

Daten zum Server:

Xen Para VM
2GB RAM
2 Cores
Apache 2.4 / Icinga

Hat jemand eine Idee?
 
Last edited by a moderator:

vb-server

Registered User
Kann ich zu 99.9999% ausschliessen. Der Server ist bis auf HTTP von aussen nicht erreichbar. Zudem kommuniziert er laut NetFlow nur mit IPs, welche mir bekannt sind (Traffic-Anstieg gibt es auch keinen). Ein offline rkhunter-scan sowie manuelles Durchsehen (Logfiles, /tmp, ...) zeigten keine Auffälligkeiten.
 

Joe User

Zentrum der Macht
Da mod_ext_filter das einzige OOTB-Modul ist welches mit der Shell interagiert und Du dieses nicht aktiviert hast, bleibt nur noch eine Web-App als Trigger übrig. Also entweder gab es bereits vor dem Upgrade diese Shell-Prozesse, was Du ebenfalls bestreitest, oder das System wurde zeitnah zum Upgrade durch Malware infiziert.
OK, es gibt da noch eine Möglichkeit, aber die wirst Du wohl ebenfalls bestreiten:
Es wurde eine neue Web-App installiert und diese ist dafür Verantwortlich.

Aber hey, es ist Dein System, ich zähle nur die möglichen Ursachen auf, die richtige rauspicken must Du selbst...
 

MadMakz

Member
"TransferLog" kann das wohl unter Umständen auch als Ursache haben.
Ist aber nur ins Blaue geschossen da OP keinen Process Tree zeigt. Quelle
 
Last edited by a moderator:

Joe User

Zentrum der Macht
TransferLog hatte ich schön völlig verdrängt da es keine sinnvolle Anwendung für den Pipe gibt.
Aber auch das hätte schon vor dem Upgrade auffallen müssen.
 
Top