Ich habe ein "kleines" Problem. Eine Kiste wurde mal mit einem Rootkit infiziert. Säuberung wurde soweit es ging gemacht, neu aufsetzen ließ der Kunde leider nicht zu... Naja.
Jedenfalls hab ich noch immer einen Prozess laufen, welcher sehr verdächtig ist:
Code: Alles auswählen
ps aux | grep apache
confixx 8281 0.0 0.0 2072 552 ? S Oct17 0:00 /usr/local/apache/bin/httpd -DSSL ? JaM5
root 8298 0.0 0.4 27192 13012 ? Ss Oct17 0:00 /usr/sbin/apache2 -k start
www-data 8300 0.0 0.2 24312 7672 ? S Oct17 0:00 /usr/sbin/apache2 -k start
www-data 8423 0.0 1.3 278888 41924 ? Sl Oct17 0:26 /usr/sbin/apache2 -k start
www-data 8552 0.0 1.2 273968 37748 ? Sl Oct17 0:27 /usr/sbin/apache2 -k start
www-data 24765 0.0 1.1 272348 36268 ? Sl Oct17 0:26 /usr/sbin/apache2 -k start
root 19189 0.0 0.0 3720 724 ttyp0 S+ 08:20 0:00 grep apache
Interessant ist auch, dass es das Verzeichnis /usr/local/apache gar nicht gibt. Zumindest komme ich mit "cd" nicht hin!
Ich werd mal sehen ob ich das Ding finde wenn ich mit einer Bootcd hochfahre.
Aber generell, wie finde ich am Besten heraus durch wen oder was Prozesse WIEDER gestartet werden, nachdem Sie gekillt wurden.