Apache desbordamiento mem
Juan Carlos Inostroza
jci en codemonkey.cl
Jue Mayo 16 15:55:41 CLT 2013
El error especifico? Swap libre? (man free) Disco libre?
Tambien puede ser que hasta el mismo ejecutable del Apache haya sido
alterado. Partir por verificar binarios (no reinstalar!), chkrootkit,
rkhunter o similares. Mirar comportamiento raro del kernel, desconectar la
maquina de internet por un rato (hacer imagen tambien, por si acaso).
Revisar /tmp, /var/tmp y similares. Permisos de esos directorios tambien.
Saludos,
2013/5/16 Javier Alejandro <javier.gonzalezp en gmail.com>
> Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y
> tratas de subir el servicio? y asi ves como se comporta....nose, digo.....
>
>
> El 16 de mayo de 2013 15:20, Alvaro Herrera <alvherre en alvh.no-ip.org
> >escribió:
>
> > Juan Carlos Rojas Jordan escribió:
> > > Hola listeros no puedo lograr arrancar apache sin que haya un
> > desbordamiento en la memoria. Este servidor es una maquina virtual
> > funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y
> > luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me
> sale
> > swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria
> > ram pero , podría ser algún tipo de ataque esto coincidió con una
> conexión
> > que lograron realizar a este servidor no me pregunten de la seguridad ni
> me
> > critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa
> es
> > que la ip es de china. bueno de ahí todo mal no logro arrancar mi
> apachito.
> > Se trata de una maquina virtual en Xen le asigne as mem pero igual
> > agradeceré alguna esperanza .
> >
> > Deberías considerar muy probable que el atacante haya logrado instalar
> > un módulo de algún tipo en tu sistema. Deberías considerarlo
> > contaminado, no tratar de rescatarlo (excepto para hacer análisis
> > forense, y rescatar únicamente los datos que sean absolutamente
> > indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una
> > instalación totalmente nueva.
> >
> > --
> > Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257
> > "Small aircraft do not crash frequently ... usually only once!"
> > (ponder, http://thedailywtf.com/)
> >
>
>
>
> --
> *Atte.
>
> Javier González P.
>
> *
> *
>
> *
>
--
Juan C. Inostroza
<jci en codemonkey.cl>
" *Federal regulations* require me to warn you that this next test
chamber... is looking *pretty good"*
Más información sobre la lista de distribución Linux