haggybear
Registered User
Hallo zusammen,
ich habe seit einigen Tagen ein seltsames Phänomen. Jeweils morgens gegen 6.20 - 6.45 Uhr ist der Apache tot. Wenn ich nun auf die Kiste gehe und versuche den Apache2 zu starten bekomme ich.
bind error, address in use !
Hum?? Was das? Also mal nmap fragen. Auf Port 80 läuft irgendwas.
Seltsam! TOP sagt, das ein Perl-Prozess unter dem User www.data läuft.
Den also getötet und siehe da, der Apache kommt wieder hoch.
Nun habe ich also die ganze Kiste von oben bis unten abgesucht ob ein Eindringling da war. Keine Anzeichen:
- die Logfiles sind sauber (keine wgets o.ä.)
- das /tmp ist clean
- lt. mail.err und mail.info wurde auch nicht gespammt
Wo zum geier kommt dieser Perl-Prozess her? Und was macht er??? Achja, wenn dieser Perl-Prozess läuft kann man sich auch nicht per Telnet auf port 80 gegen connecten, gibt sofort ein "connection refused"
Das einizige was mit auf gefallen ist, das in der auth.info sehr viele "POSSIBLE BREAKIN ATTEMPTS" sind.
Ich bin echt ratlos...
Gruß
Haggy
ich habe seit einigen Tagen ein seltsames Phänomen. Jeweils morgens gegen 6.20 - 6.45 Uhr ist der Apache tot. Wenn ich nun auf die Kiste gehe und versuche den Apache2 zu starten bekomme ich.
bind error, address in use !
Hum?? Was das? Also mal nmap fragen. Auf Port 80 läuft irgendwas.
Seltsam! TOP sagt, das ein Perl-Prozess unter dem User www.data läuft.
Den also getötet und siehe da, der Apache kommt wieder hoch.
Nun habe ich also die ganze Kiste von oben bis unten abgesucht ob ein Eindringling da war. Keine Anzeichen:
- die Logfiles sind sauber (keine wgets o.ä.)
- das /tmp ist clean
- lt. mail.err und mail.info wurde auch nicht gespammt
Wo zum geier kommt dieser Perl-Prozess her? Und was macht er??? Achja, wenn dieser Perl-Prozess läuft kann man sich auch nicht per Telnet auf port 80 gegen connecten, gibt sofort ein "connection refused"
Das einizige was mit auf gefallen ist, das in der auth.info sehr viele "POSSIBLE BREAKIN ATTEMPTS" sind.
Ich bin echt ratlos...
Gruß
Haggy
