/tmpに妙なファイルが多数
/tmpに妙なファイルが多数
ウェブサーバの/tmpに妙なファイルがたくさんあることに気づきました。
こんなの。
-rw-------. 1 nobody nobody 3624 7月 2 13:33 modproxy.tmp.WacPgS -rw-------. 1 nobody nobody 3995 7月 2 13:59 modproxy.tmp.GsUV6F -rw-------. 1 nobody nobody 175579 7月 2 14:06 modproxy.tmp.KJOaHJ -rw-------. 1 nobody nobody 540207 7月 2 14:29 modproxy.tmp.6KWNq6 -rw-------. 1 nobody nobody 540207 7月 2 14:30 modproxy.tmp.IKRFLB -rw-------. 1 nobody nobody 142096 7月 2 14:32 modproxy.tmp.EVMc8O -rw-------. 1 nobody nobody 87196 7月 2 14:35 modproxy.tmp.BeGvg0 -rw-------. 1 nobody nobody 141998 7月 2 14:37 modproxy.tmp.1weC7F -rw-------. 1 nobody nobody 70116 7月 2 14:39 modproxy.tmp.0TJ23p -rw-------. 1 nobody nobody 87628 7月 2 14:39 modproxy.tmp.StK9CQ -rw-------. 1 nobody nobody 68113 7月 2 14:39 modproxy.tmp.9x584u -rw-------. 1 nobody nobody 102876 7月 2 14:40 modproxy.tmp.Ivr0Eb -rw-------. 1 nobody nobody 200622 7月 2 14:46 modproxy.tmp.xF1ao1 -rw-------. 1 nobody nobody 4263 7月 2 14:56 modproxy.tmp.W933hq -rw-------. 1 nobody nobody 6910 7月 2 15:18 modproxy.tmp.Ur7KfV -rw-------. 1 nobody nobody 13946 7月 2 15:21 modproxy.tmp.v1Jfvh -rw-------. 1 nobody nobody 4500 7月 2 15:23 modproxy.tmp.qu2IEX -rw-------. 1 nobody nobody 15393 7月 2 15:25 modproxy.tmp.we2PYL -rw-------. 1 nobody nobody 312503 7月 2 15:27 modproxy.tmp.2zhUPn -rw-------. 1 nobody nobody 312503 7月 2 15:27 modproxy.tmp.KsdTvS
なんだろとmod_proxy_http.cをチラ見。
どうやら、受け取ったリクエストボディが一定サイズ(MAX_MEM_SPOOL:16384)を越えた場合に、分割してファイルに書き出して後ほどくっつけるための中間ファイルみたい。
で、残っているってことは処理が途中で終了したか、リクエストが完了していないか。
HTTPのリクエストでそんなにサイズがでかくなることってほぼないだろうから、おそらくこれは一種の攻撃なんじゃないかなと。
あくまでも推測ですが。どうなんでしょうね。Google先生に聞いても類似ありません。