The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Непонятный процесс спамит в почу"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Система. проблемы, диагностика)
Изначальное сообщение [ Отслеживать ]

"Непонятный процесс спамит в почу"  +/
Сообщение от Nird (ok) on 29-Май-17, 17:01 
Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.

$lsof | grep 14008
bash      14008               www-data  cwd       DIR                9,1       4096          2 /
bash      14008               www-data  rtd       DIR                9,1       4096          2 /
bash      14008               www-data  txt       REG                9,1      10416     922609 /usr/bin/perl
bash      14008               www-data  mem       REG                9,1      27104     922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so
bash      14008               www-data  mem       REG                9,1      85232     922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so
bash      14008               www-data  mem       REG                9,1      18632     922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so
bash      14008               www-data  mem       REG                9,1      43416     922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so
bash      14008               www-data  mem       REG                9,1      18728     922623 /usr/lib/perl/5.18.2/auto/IO/IO.so
bash      14008               www-data  mem       REG                9,1    4169248     917647 /usr/lib/locale/locale-archive
bash      14008               www-data  mem       REG                9,1      43368    1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so
bash      14008               www-data  mem       REG                9,1     141574    1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so
bash      14008               www-data  mem       REG                9,1    1071552    1443186 /lib/x86_64-linux-gnu/libm-2.19.so
bash      14008               www-data  mem       REG                9,1      14664    1443192 /lib/x86_64-linux-gnu/libdl-2.19.so
bash      14008               www-data  mem       REG                9,1    1853216    1443182 /lib/x86_64-linux-gnu/libc-2.19.so
bash      14008               www-data  mem       REG                9,1    1608280     922610 /usr/lib/libperl.so.5.18.2
bash      14008               www-data  mem       REG                9,1     149120    1443190 /lib/x86_64-linux-gnu/ld-2.19.so
bash      14008               www-data  mem       REG                9,1     190966    1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo
bash      14008               www-data  mem       REG                9,1      26258     920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
bash      14008               www-data    0r      CHR                1,3        0t0  165203553 /dev/null
bash      14008               www-data    1w      CHR                1,3        0t0  165203553 /dev/null
bash      14008               www-data    2w      CHR                1,3        0t0  165203553 /dev/null
bash      14008               www-data    3u     IPv4          427740814        0t0        TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT)
...
Очевидно что скрипт на perl и запускает его bash скрипт. Но откуда ноги растут непонятно.

$whowatch
xSTART: Wed May 24 18:21:30 2017                   x
xEXE: /usr/bin/perl                                x
xROOT: /                                           x
xCWD: /    

Как найти виновника "торжества"?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Непонятный процесс спамит в почу"  +/
Сообщение от тень_pavel_simple on 29-Май-17, 18:30 
>[оверквотинг удален]
>  x
> xEXE: /usr/bin/perl          
>            
>           x
> xROOT: /          
>            
>            
>           x
> xCWD: /
> Как найти виновника "торжества"?

auditd/systemtap

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Непонятный процесс спамит в почу"  +/
Сообщение от Nird (ok) on 30-Май-17, 10:08 
>[оверквотинг удален]
>> xEXE: /usr/bin/perl
>>
>>           x
>> xROOT: /
>>
>>
>>           x
>> xCWD: /
>> Как найти виновника "торжества"?
> auditd/systemtap

Судя по описанию - то что надо. Но, не могу разобраться как с этим работать. Какое правило создать что бы записать логи процесса, или пользователя.

добавил такое:
-a exit,always -S open -F loginuid=33

Правда при рестарте выдает варнинг:
WARNING - 32/64 bit syscall mismatch in line 15, you should specify an arch

И в логах не появляется интересующий процесс.
ausearch -p 14008 --raw | aureport -f -i
File Report
===============================================
# date time file syscall success exe auid event
===============================================
<no events of interest were found>

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Непонятный процесс спамит в почу"  +/
Сообщение от ыы on 29-Май-17, 20:33 
    
>          www-data  

апач?
мониторинг какойнить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Непонятный процесс спамит в почу"  +/
Сообщение от PavelR (??) on 30-Май-17, 06:18 
>>          www-data
> апач?
> мониторинг какойнить?

Да подломили и затроянили его, вот и всё.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру