Узнать детали по процессу perl

0

1

Добрый день, взломали VPS'ку. В top висит процесс perl, запущенный от apache рассылает спам.

/proc/exe/<id> дает /usr/bin/perl

в lsof показывает, что скрипт рассылает письма по SMTP, ps elfww тоже выводит только /usr/bin/perl.

Вопрос - как узнать путь до perl скрипта, который запускает апач, если процесс уже запущен?

←	Ищу актуальный мануал по настройке Dovecot 2.2.9

→

Просканируй на новые файлы директории, откуда разрешен запуск скриптов. Может еще чего найдешь.

soomrack ★★★★★
(08.02.16 17:10:04 MSK)

ps -fA ?

SevikL ★★★★★
(08.02.16 17:11:21 MSK)

Никак, perl закрывает скрипт, когда загрузил его. А еще это мог быть однострочник.

disarmer ★★★
(08.02.16 17:13:28 MSK)
Последнее исправление: disarmer 08.02.16 17:15:56 MSK (всего исправлений: 1)

В общем случае никак, наверное

На всякий случай, кроме /proc/$pid/exe, можно посмотреть /proc/$pid/smaps

А вообще отложи образ для последующего анализа, и переустанавливай ОСь. Скомпрометированную систему использовать нельзя.

router ★★★★★
(08.02.16 19:07:49 MSK)

# gdb =perl <pid>
(gdb) generate-core-file
# strings core.<pid>

внимательно изучить, может и поможет.

arto ★★
(09.02.16 09:25:06 MSK)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ищу актуальный мануал по настройке Dovecot 2.2.9

→

Похожие темы