perl с ppid 1

0

1

Появился странный процесс perl с ppid=1, который рассылает спам, через sendmail. Как определить, когда он запускается и устранить его?

Ссылка

←	Как отследить цепочку переходов (с сайта на сайт)?

Как воостановить пароль к шифрованному разделу

→

выхлоп ps aux на пастебин

~~adriano32~~ ★★★
(29.10.11 15:01:32 MSK)

Ответ на: комментарий от adriano32 29.10.11 15:01:32 MSK

мало определить откуда он запускается, надо определить как он туда попал.

~~adriano32~~ ★★★
(29.10.11 15:01:49 MSK)

Ответ на: комментарий от adriano32 29.10.11 15:01:49 MSK

Я убил процесс по глупости. После ребута пока не появился. Пока выяснил, что он занимается тем, что запускает wget на какой-то индийский ip.

generator ★★★
(29.10.11 15:06:43 MSK) автор топика

Ответ на: комментарий от generator 29.10.11 15:06:43 MSK

Зачем?... достаточно было ionice'ом ему приоритет опустить до минимума.

~~adriano32~~ ★★★
(29.10.11 15:07:45 MSK)

Ответ на: комментарий от adriano32 29.10.11 15:07:45 MSK

Я понимаю, но... Испугался) Какие есть способы узнать, что его запускает?

generator ★★★
(29.10.11 15:10:02 MSK) автор топика

Ответ на: комментарий от generator 29.10.11 15:10:02 MSK

rootkithunter, интуиция, аналитический склад ума, осмотр файловой системы на предмет различных перловских скриптов, как в PATH, так и в /tmp, find и просмотр исполняемых файлов, осмотр логов, сверка контрольных сумм работающего софта с дистрибутивными, просмотр «а не было ли уязвимостей в работающем софте», lsof -i ... Короче тут комплексно надо.

~~adriano32~~ ★★★
(29.10.11 15:13:56 MSK)

>ppid

parent pid имеется в виду? тогда init его запускает.

AptGet ★★★
(29.10.11 15:17:23 MSK)

Ответ на: комментарий от adriano32 29.10.11 15:13:56 MSK

>осмотр файловой системы на предмет различных перловских скриптов, как в PATH, так и в /tmp

Ничего криминального там нет. Интересно, что ps показывал запущенный perl без аргументов.

lsof тоже ничего интересного не показал, только пайп к процессу wget.

generator ★★★
(29.10.11 15:19:35 MSK) автор топика

Ссылка

Ответ на: комментарий от AptGet 29.10.11 15:17:23 MSK

Логично, только вот почему он не всегда запускается после загрузки, и почему вдруг инит начал запускать его.

generator ★★★
(29.10.11 15:20:48 MSK) автор топика

Ответ на: комментарий от generator 29.10.11 15:20:48 MSK

значит что-то им командует :) инит-скрипты перебрал?

~~adriano32~~ ★★★
(29.10.11 15:21:55 MSK)

Ответ на: комментарий от adriano32 29.10.11 15:21:55 MSK

В инит-скриптах вроде как всё-нормально. Всё-таки как может быть запущен перл без аргументов?

generator ★★★
(29.10.11 15:25:13 MSK) автор топика

Ответ на: комментарий от generator 29.10.11 15:20:48 MSK

Кулхацкеры заменили инит своим бинарником. Какой дистрибутив хотя бы?

AptGet ★★★
(29.10.11 15:28:03 MSK)

Ответ на: комментарий от AptGet 29.10.11 15:28:03 MSK

Как решить проблему можно? Центос.

generator ★★★
(29.10.11 15:30:53 MSK) автор топика

Ответ на: комментарий от generator 29.10.11 15:30:53 MSK

rpm -Va для начала, но я бы не особо надеялся.

AptGet ★★★
(29.10.11 15:37:50 MSK)

Ответ на: комментарий от AptGet 29.10.11 15:37:50 MSK

Да, ничего неожиданного. Процесс пока так и не появляется. Отсюда вывод, что его запускает что-то вне системы.

Кстати забыл сказать, что на сервере стоит cPanel и куча сайтов.

generator ★★★
(29.10.11 21:52:16 MSK) автор топика

Ссылка

Ответ на: комментарий от generator 29.10.11 15:25:13 MSK

Аргументы можно подменить через изменение argv, а в случае с perl специальная переменная $0.

PoMbl4 ★
(05.11.11 12:09:34 MSK)

Ответ на: комментарий от AptGet 29.10.11 15:17:23 MSK

> тогда init его запускает.

Не обязательно. Возможно, что родительский скрипт сдох, в этом случае init усыновляет процессы-сироты.

sjinks ★★★
(05.11.11 20:10:39 MSK)

Ссылка

Ответ на: комментарий от PoMbl4 05.11.11 12:09:34 MSK

Можно как-нибудь узнать какой конкретно скрипт выполняется интерпретатором? Можно пересобрать при желании его. Или фейковый скрипт создать, который будет логи вести и в свою очередь запускать уже perl.original? У меня уже все идеи кончились.

generator ★★★
(06.11.11 14:55:01 MSK) автор топика

Ответ на: комментарий от generator 06.11.11 14:55:01 MSK

/proc/$pid/cmdline
/proc/$pid/environ
и прочее

maloi ★★★★★
(06.11.11 15:07:39 MSK)

Ответ на: комментарий от maloi 06.11.11 15:07:39 MSK

>/proc/$pid/cmdline

perl .

/proc/$pid/environ

сейчас не помню, но ничего необычного.

generator ★★★
(06.11.11 15:20:06 MSK) автор топика

Ссылка

Ответ на: комментарий от maloi 06.11.11 15:07:39 MSK

Хотя в переменной SSH_CLIENT в environ есть странный ip.

generator ★★★
(06.11.11 16:11:34 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как отследить цепочку переходов (с сайта на сайт)?

Security

Как воостановить пароль к шифрованному разделу

→

Похожие темы