Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.

$lsof | grep 14008
bash 14008 www-data cwd DIR 9,1 4096 2 /
bash 14008 www-data rtd DIR 9,1 4096 2 /
bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl
bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so
bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so
bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so
bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so
bash 14008 www-data mem REG 9,1 18728 922623 /usr/lib/perl/5.18.2/auto/IO/IO.so
bash 14008 www-data mem REG 9,1 4169248 917647 /usr/lib/locale/locale-archive
bash 14008 www-data mem REG 9,1 43368 1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so
bash 14008 www-data mem REG 9,1 141574 1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so
bash 14008 www-data mem REG 9,1 1071552 1443186 /lib/x86_64-linux-gnu/libm-2.19.so
bash 14008 www-data mem REG 9,1 14664 1443192 /lib/x86_64-linux-gnu/libdl-2.19.so
bash 14008 www-data mem REG 9,1 1853216 1443182 /lib/x86_64-linux-gnu/libc-2.19.so
bash 14008 www-data mem REG 9,1 1608280 922610 /usr/lib/libperl.so.5.18.2
bash 14008 www-data mem REG 9,1 149120 1443190 /lib/x86_64-linux-gnu/ld-2.19.so
bash 14008 www-data mem REG 9,1 190966 1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo
bash 14008 www-data mem REG 9,1 26258 920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
bash 14008 www-data 0r CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 1w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 2w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 3u IPv4 427740814 0t0 TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT)
...
Очевидно что скрипт на perl и запускает его bash скрипт. Но откуда ноги растут непонятно.

$whowatch
xSTART: Wed May 24 18:21:30 2017 x
xEXE: /usr/bin/perl x
xROOT: / x
xCWD: /

Как найти виновника "торжества"?

На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера.
Можно еще попробовать
ps -aux
Возможно будет видно адрес файла который запустили

На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера. »

Да это веб-сервер и гадит. Его взломали и шлют спам.

Да это веб-сервер и гадит. Его взломали и шлют спам. »
Понятно что это вэб сервер. Как найти скрипт который гадит.

ps -aux
Возможно будет видно адрес файла который запустили »

www-data 14008 4.8 0.0 39100 7036 ? Ss мая24 395:29 bash

Я б попробовал проверить лог веб-сервера access.log

Например
cat access.log | grep '.pl'

cat access.log | grep '.pl' »
не показывает ничего.

Проблема в том, что на сервере крутиться чуть больше чем дофига виртуальных хостов. И парсить логи каждого просто не реально.

Еще варианты ($PID - id процесса)
ls -l /proc/$PID/exe

Скорее всего результат даст первая команда.
Еще варианты как посмотреть информацию по процессу.
ls -l /proc/$PID/cmdline
ls -l /proc/$PID/environ
ps -auxefw | grep $PID

Последние команды выдадут много информации, которую нужно разбирать

Еще варианты ($PID - id процесса) »
Это все пробовал
$ls -l /proc/14008/exe
lrwxrwxrwx 1 www-data www-data 0 мая 28 05:09 /proc/14008/exe -> /usr/bin/perl

$cat /proc/14008/cmdline
>

cat /proc/14008/environ
>

ps -auxefw | grep 14008 //выдает оч. много информации, но полезного там вроде как нет
root 25455 0.0 0.0 20112 1756 pts/1 R+ 14:02 0:00 \_ ps -auxefw LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;0 1:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31 :*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=0 1;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.d eb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=0 1;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35 :*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*. svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mk v=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=0 1;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35 :*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx =01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00 ;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:* .xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/ps OLDPWD=/proc/14008
root 25456 0.0 0.0 12996 912 pts/1 S+ 14:02 0:00 \_ grep --color=auto 14008 LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;0 1:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31 :*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=0 1;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.d eb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=0 1;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35 :*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*. svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mk v=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=0 1;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35 :*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx =01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00 ;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:* .xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/grep OLDPWD=/proc/14008
www-data 14008 4.9 0.0 39276 7012 ? Ss мая24 415:24 bash

Посоветовали использовать auditd. Но толку с этим демоном дать не могу. Информации крайне мало, а примеры мало применимы в данной ситуации. Может есть у кого опыт использования аудита?

Посоветовали использовать auditd. Но толку с этим демоном дать не могу. »
Прок от подобного софта есть, когда он установлен до атаки. А сейчас поздно метаться, остаётся только кропотливо искать точку или точки заражения. Которые наверняка во множестве, если используются популярные CMS, а обслуживаются как обычно, то есть никак. Китайцы их ломают на автомате и подсаживают всякую дрянь в один момент.

Ну можете антивирусом пройтись (clamav), rkhunter/lynis тоже может помочь. Если используете какую-либо систему управления хостингом (типа cPanel), то для них есть секьюрити плагины.

Всем спасибо за ответы.
Будем поискать зловреда. Настроил сканирование кламом каждого нового или измененного файла. rkhunter ничего не нашел, что конечно с одной стороны хорошо, с другой стороны проблема осталась. Буду разбираться с аудитом и искать...