CPU fressende "Geisterprozesse" bei ProFTPd mit TLS-Verschlüsselung

V

vBFreak

Registered User
CPU fressende "Geisterprozesse" von ProFTPd mit TLS-Verschlüsselung

Hallo!

Ich benutze ProFTPd Version 1.2.10 Debian mit aktivierter TLS-Verschlüsselung und von Zeit zu Zeit stelle ich bei einem Abruf der Prozessliste mit ps aux komische Geisterprozesse fest, die ~70% meiner CPU fressen und eine sehr seltsame Uhrzeit als Startzeit angegeben haben...

Code: 
USER   PID   %CPU %MEM    VSZ  RSS   TTY   STAT  START   TIME       COMMAND
www    3735 76.8    0.2    5192 3080   ?     RL   Jul02   16601:05 proftpd: wwww - p5080F0BD.dip.t-dialin.net: QUIT

Was ist das? Ein Hackingversuch? Ein Bug? Oder doch nur ne hängengebliebende Verbindung irgendwie? Und wie kann ich das ändern? Die Dinger kommen von Zeit zu Zeit immer wieder mal vor und ich kill die dann einfach ab...
 
Last edited by a moderator:
Hallo!
Was sagen zum Zeitpunkt der hohen Last die Apache Logs? Denn der FTP Benutzer lautet www. Läßt vermuten, das dort eventuell ein Script mißbrauchtwird oder ähnliches.

mfG
Thorsten
 
Also Apache benutzt bei mir als Benutzer www-data, der Benutzer www ist nur der Benutzer, dem das Verzeichnis /var/www gehört, dieser ist ein normaler Systembenutzer mit gesperrtem SSH-Login, der nur für FTP benutzt wird, damit ich da rankomme an die Website und dann besser per FTP was rauf- und runterladen kann, den www-data Benutzer hab ich lieber nicht angerührt weil der speziell für Apache zu sein scheint und wohl auch kein Passwort und somit keinen Login bei SSH/FTP oder sonstigen Diensten hat, sieht also eigentlich weniger nach Apache aus. Zummindest hat der Benutzer www bei ps aux nur einen Prozess am Laufen, wenn ich ProFTPd öffne und mich dann als www bei ProFTPd über FTP einlogge...

Wenn ich wüsste zu welcher Zeit dieser Prozess entstanden ist, wäre das schon um einiges einfacher auch mal Apache zu checken, aber da steht ja eine ganz seltsame Zeit dran, außerdem steht in der access.log jede Menge und in der error.log leider auch wegen der fehlenden favicon.ico und der fehlenden robots.txt, die scheinbar von Crawlern und Browsern immer aufgerufen werden, ich weiß natürlich auch nicht nach was ich jetzt explizit suchen soll dort, daher gestaltet sich das etwas schwierig...

Man sollte vielleicht noch dazu sagen, dass diese merkwürdigen Prozesse erst erscheinen, seitdem ich den ProFTPd auf TLS-Verschlüsselung umgestellt habe, davor hatte ich dieses Problem nicht, was eigentlich Apache als Verursacher nochmals unwahrscheinlicher macht. Die Frage ist eben, was es dann ist, es kann ja dann nur ein Bug oder irgendwie eine hängengebliebene TLS-Verbindung bzw. ein hängengebliebener TLS-Verbindungsversuch, evtl. auch bösartigerweise sein. TLS ist übrigens auf benötigt gestellt, d.h. es sind keine normalen Verbindungen möglich...
 
Last edited by a moderator:
Ich hab mich in den ProFTPd Logs mal umgeschaut, dort hab ich folgendes gefunden:

Also die Logs von ProFTPd sagen folgendes:

Code: 
Jul 02 15:36:27 mod_tls/2.0.7[2051]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)
Jul 02 15:36:28 mod_tls/2.0.7[2051]: Protection set to Private
Jul 02 15:36:28 mod_tls/2.0.7[2051]: starting TLS negotiation on data connection
Jul 02 15:36:28 mod_tls/2.0.7[2051]: unable to accept TLS connection:
  (1) error:0D078079:asn1 encoding routines:ASN1_ITEM_EX_D2I:field missing
  (2) error:1409B005:SSL routines:SSL3_SEND_SERVER_KEY_EXCHANGE:DH lib

Und:

Code: 
Jul 05 19:04:13 mod_tls/2.0.7[22092]: TLSv1/SSLv3 data connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)
Jul 05 19:04:13 mod_tls/2.0.7[22092]: unexpected OpenSSL error, disconnecting

Könnte das mit meinem Problem zusammenhängen oder gar der Verursacher sein?
 
You must log in or register to reply here.
Back
Top