heruasfinden, was den Prozess gestartet hat

22/09/2010 - 09:24 von Frank Kirschner | Report spam
Hallo zusammen,

Hintergrundinfo:
ein Linux Server unter CentOS 5.5 lastet das Netzwerk so sehr aus, dass
kaum noch etwas geht. Nach Trennen des Ethernetkabels làuft das Netz
wieder.

Ist-Zustand
Auf dem Server lastet der Prozess "std" die CPU zu 105% aus, Load liegt
bei 4.
ps aux gibt für die PID 741 mit 105% CPU das Commando: ./std
86.127.194.6 0 aus.

tcpdump zeigt eine Paketflut von 50 Byte großen UDP Paketen an die IP
86.127.194.6

Frage:
Wie kann ich nun weiter analysieren, was dieses Flut auslöst?

lg
Frank
 

Lesen sie die antworten

#1 Henning Paul
22/09/2010 - 09:26 | Warnen spam
Frank Kirschner wrote:

Hintergrundinfo:
ein Linux Server unter CentOS 5.5 lastet das Netzwerk so sehr aus,
dass kaum noch etwas geht. Nach Trennen des Ethernetkabels làuft das
Netz wieder.

Ist-Zustand
Auf dem Server lastet der Prozess "std" die CPU zu 105% aus, Load
liegt bei 4.
ps aux gibt für die PID 741 mit 105% CPU das Commando: ./std
86.127.194.6 0 aus.

tcpdump zeigt eine Paketflut von 50 Byte großen UDP Paketen an die IP
86.127.194.6



Hmm, eine Rumànische IP...

Frage:
Wie kann ich nun weiter analysieren, was dieses Flut auslöst?



Herausfinden, was std für ein Programm ist. Ich würde auf Malware
tippen, sieht mir nàmlich nach einem DDoS aus.

Gruß
Henning

Ähnliche fragen