rshell verursacht hohe cpu last?

[Timmey92]

moin leute!
habe seit nem monat einen vserver mit debian+plesk 8.4 drauf.
Seit gestern läuft ein prozess namens "rshell" und verursacht eine cpu last von 94% ...
grad eben kam auch noch perl dazu.

nachm killen gings wieder.
nun meine frage: was ist das? google konnte mir nich allzu viel zu rshell sagen ...
ist das nen hacker?
weil das lief unter meinem user und ich hab das sicher nicht gestartet.

 

[ekin06]

Schau doch mal in den logs nach was den Prozess gestartet haben könnte.

 

[Vektor]

Das wäre auch meine Idee, wenn es das nächste mal auftritt mal mit 'ps -Al' (es ist ein kleines "L" ) den Elternprozess heraussuchen.

 

[Timmey92]

ah cool danke, wusste garnicht das sowas existiert.
werd dann mal schauen, wenn es wieder kommt.

 

[Timmey92]

ok diesmal ist es perl... läuft unter meinem user account und hat keine parentProcessID
was nun? :S

bei "top" steht in der spalte "S" bei dem prozess "R"

und wo finde ich dieses log? @ekin06

edit: hab mal rkhunter laufen lassen:

Performing filesystem checks
[10:30:50] Info: Starting test name 'filesystem'
[10:30:50] Info: SCAN_MODE_DEV set to 'THOROUGH'
[10:30:51]   Checking /dev for suspicious file types         [ Warning ]
[10:30:51] Warning: Suspicious file types found in /dev:
[10:30:51]          /dev/shm/w1w/exploit.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, not stripped
[10:30:51]          /dev/shm/w1w/exploit-pulseaudio: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.8, not stripped
[10:30:51]          /dev/shm/w1w/exploit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.8, not stripped
[10:30:51]          /dev/shm/w1w/run: a bash script text executable
[10:30:51]          /dev/shm/w1w/exploit-pulseaudio.c: ASCII C program text
[10:30:51]          /dev/shm/w1w/sesearch-mmap_zero: a bash script text executable
[10:30:51]          /dev/shm/w1w/exploit.c: ASCII C program text
[10:30:51]          /dev/shm/w1w/runcon-mmap_zero: a bash script text executable
[10:30:51]          /dev/shm/w1w.tgz: gzip compressed data, from Unix, last modified: Mon Feb 22 23:20:57 2010
[10:30:51]          /dev/shm/xt.dat: a /usr/bin/perl script text executable
[10:30:51]          /dev/shm/xt.dat.1: a /usr/bin/perl script text executable
[10:30:51]          /dev/shm/mono.3214: data
[10:30:52]   Checking for hidden files and directories       [ None found ]

kann es das sein?

 

[notseb]

hast du irgendwelche cronjobs laufen? ps auxf zeigt dir auch die parent prozesse mit an, poste das mal.

 

[Timmey92]

habe bloß einen php cronjob laufen, der alle 3 minuten aufgerufen wird.
habe aber wohl wie es aussieht einen shellbot drauf -.- jedenfalls sagt mir das nod32, als ich versucht habe die dateien vom server zu ziehen, die rkhunter mir gesagt hat

 

[notseb]

na, wenn du einen rootkit hast solltest du dein system asap neu aufsetzen lassen. diesmal auch vielleicht mit einer aktuelleren version als plesk 8.4...

 

[Timmey92]

jo werd ich machen.
Ich werde einfach LAMP auswählen im CP oder gleich alles von hand konfigurieren und dann alles auf dem aktuellen stand halten ... plesk geht mir mächtig auf den ****.

 

[ekin06]

Wird das beste sein, was da unter /dev/ steht ist 1. nicht normal und sieht auch nicht so gut aus ^^. Plesk suckt eh wenn man alles selber konfigurieren kann und dazu noch 100000 Abhängigkeiten. Das nervt tierisch - deshalb am besten gar nicht erst installieren.

Am besten nur das Minimalsystem und den Rest mit apt-get.

Die neueste Version von Ubuntu (10.04 Server 64Bit) kann ich auch nur empfehlen. Reibungslose Installation, Console ist nach einem Reboot innerhalb von 20 Sekunden (inkl. POST) startbereit (Ok, liegt evtl auch an SSD). Aber Debian ist auch geil.