• 10-09-2010, 21:38:44
    #1
    Bu HATAlar nedir?:
    lfd on server.XXXXXX.com: Suspicious process running under user dovecot
    lfd on server.XXXXXX.com: Suspicious process running under user nobody
    lfd on server.XXXXXX.com: Suspicious process running under user haldaemon

    Sunucudan sürekli bu tarz hata mailleri alıyorum sebebini veya çözümünü bilen arkadaşlar varsa yardımcı olabilirmi bi kaç kaynak buldum ama yabancı sitelerde pek birşey anlamadım. Ayrıntılar aşağıdadır.

    İlginize şimdiden teşekkür ederim..

    lfd on server.XXXXXX.com: Suspicious process running under user dovecot


    Time:    Tue Sep  7 16:01:28 2010 +0300
    
    PID:     15177
    Account: dovecot
    Uptime:  1851804 seconds
    
    
    Executable:
    
    /usr/libexec/dovecot/pop3-login\00\00\00\00\00\00'\00\00\00\90\c9\11 \00\00\00 (deleted)
    
    The file system shows this process is running an executable file that   has been deleted. This typically happens when the original file has  been  replaced by a new file when the application is updated. To prevent  this  being reported again, restart the process that runs this  excecutable  file. See csf.conf and the PT_DELETED text for more  information about  the security implications of processes running  deleted executable files.
    
    
    Command Line (often faked in exploits):
    
    pop3-login
    
    
    Network connections by the process (if any):
    
    tcp: 0.0.0.0:110 -> 0.0.0.0:0
    tcp: 0.0.0.0:995 -> 0.0.0.0:0
    
    
    Files open by the process (if any):
    
    /dev/null
    /dev/urandom
    
    eventpoll:[88943]
    .....

    lfd on server.XXXXXX.com: Suspicious process running under user nobody

    Time:    Tue Sep  7 16:01:28 2010 +0300
    PID:     23649
    Account: nobody
    Uptime:  1642831 seconds
    
    
    Executable:
    
    /opt/adobe/fms/fmscore
    
    
    Command Line (often faked in exploits):
    
    /opt/adobe/fms/fmscore -adaptor _defaultRoot_ -vhost _defaultVHost_ -app  registry -inst registry -tag -conf /opt/adobe/fms/conf/Server.xml -name  _defaultRoot_:_defaultVHost_:registry:registry:
    
    
    Network connections by the process (if any):
    
    tcp: 127.0.0.1:49577 -> 127.0.0.1:19350
    ....
    lfd on server.XXXXXX.com: Suspicious process running under user haldaemon

    Time:    Tue Sep  7 16:01:28 2010 +0300
    
    PID:     2639
    Account: haldaemon
    Uptime:  1864298 seconds
    
    
    Executable:
    
    /usr/sbin/hald\00\00\00\00\00\00\00\00 \00\02tty11\00 (deleted)
    
    The file system shows this process is running an executable file that  has been deleted. This typically happens when the original file has been  replaced by a new file when the application is updated. To prevent this  being reported again, restart the process that runs this excecutable  file. See csf.conf and the PT_DELETED text for more information about  the security implications of processes running deleted executable files.
    
    
    Command Line (often faked in exploits):
    
    
    hald
    
    
    Network connections by the process (if any):
  • 11-09-2010, 22:53:28
    #2
    Kimlik doğrulama veya yönetimden onay bekliyor.
    şüpheli işlemler tespit etmiş sistem. bir ihtimal hacklenmiş gibi gözüküyorsun. yedeklerini alıp temiz bir kurulum yap derim.
  • 09-10-2010, 04:11:09
    #3
    Üyeliği durduruldu
    AndyCap adlı üyeden alıntı: mesajı görüntüle
    şüpheli işlemler tespit etmiş sistem. bir ihtimal hacklenmiş gibi gözüküyorsun. yedeklerini alıp temiz bir kurulum yap derim.
    Konu geçmiş ama mükemmel sonuç çıkartmışsınız, alakasız olarak.

    Şüpheli bulduğu şeyler, sunucu bileşenleridir.

    LFD'nin hep yaptığı şey, uzun süre çalışan işlemleri rapor ediyor.
  • 09-10-2010, 14:05:02
    #4
    TurkALB adlı üyeden alıntı: mesajı görüntüle
    Konu geçmiş ama mükemmel sonuç çıkartmışsınız, alakasız olarak.

    Şüpheli bulduğu şeyler, sunucu bileşenleridir.

    LFD'nin hep yaptığı şey, uzun süre çalışan işlemleri rapor ediyor.
    lfd kullanmadığım için bu kadar dandik olacağını düşünmedim. ama şunu es geçmişsin apache de eximde nobody kullanıcısı altında çalışıyor. yani mail serverı ele geçiren biri nobody kullanıcısı ile çalışan apacheyi de ele geçireceğinden tüm siteleri ele geçirmiş olur. işte sana şüpheli işlem nobody kullanıcısı için. ben bu açıdan değerlendirdim. sen at gözüyle bakıyorsun ben böyle bakıyorum. aradaki fark bu. sen alakasız bulabilirsin. ha bu arada şüpheli buldukları sunucu bileşenleri değil kullanıcıların yaptığı işlemler
  • 10-10-2010, 00:21:22
    #5
    Üyeliği durduruldu
    AndyCap adlı üyeden alıntı: mesajı görüntüle
    lfd kullanmadığım için bu kadar dandik olacağını düşünmedim. ama şunu es geçmişsin apache de eximde nobody kullanıcısı altında çalışıyor. yani mail serverı ele geçiren biri nobody kullanıcısı ile çalışan apacheyi de ele geçireceğinden tüm siteleri ele geçirmiş olur. işte sana şüpheli işlem nobody kullanıcısı için. ben bu açıdan değerlendirdim. sen at gözüyle bakıyorsun ben böyle bakıyorum. aradaki fark bu. sen alakasız bulabilirsin. ha bu arada şüpheli buldukları sunucu bileşenleri değil kullanıcıların yaptığı işlemler
    At gözüyle bakıyorsun ? Düzgün ve dikkatli konuşun benimle konuşurken. Askerlik arkadaşınız değilim.

    Çalışan sunucu bileşenlerine yapılan işlemleri şüpheli bulmuş. Doğru. Lakin yinede bileşenleri şüpheli bulduğunu belirtmiş.

    Alıntı
    PID: 15177
    Account: dovecot
    Uptime: 1851804 seconds

    dovecot "Secure IMAP server"

    Dovecot; Güvenli IMAP ve POP3 sunucusudur.

    Buda sitesi : http://www.dovecot.org/
    Alıntı

    Time: Tue Sep 7 16:01:28 2010 +0300
    PID: 23649
    Account: nobody
    Uptime: 1642831 seconds


    Executable:

    /opt/adobe/fms/fmscore

    Şüpheli bulduğu bir diğer bileşen ise Adobenin üretimi Flash Media Server.

    Buda sunucudan yayın sağlamak için bir yazılım.

    Sadece sunucu üzerinde yayını sağlamak için ve ayarları yapmak için bir komut kullanmış oda aşağıda ;

    /opt/adobe/fms/fmscore -adaptor _defaultRoot_ -vhost _defaultVHost_ -app registry -inst registry -tag -conf /opt/adobe/fms/conf/Server.xml -name _defaultRoot_:_defaultVHost_:registry:registry:

    Lakin 2 yanlış komutu 1 satırda kullanmış, sanırım yayın host ayarlarıyla oynamış.
    Nobody olarak örnek verdiği durum FMS içindir, demek istediğim yine alakasızsınız, yine alakasızsınız. Ne alakası var ya apache ve exim'le bu konunun ? Ne alakası var hackle falan, iyi okuyun sonra yorum yapın.
  • 10-10-2010, 00:39:14
    #6
    bu tarz mailleri genelde güncellemenin hemen sonrasında alırsınız.

    basitçe sunucuyu restart ederek kurtulabilirsiniz.

    yada hiç böyle mesajlar almayım derseniz csf.pignore dosyasını düzenleyip bu programları ekleyebilirsiniz.