Войти

Показать полную графическую версию : Непонятный процесс спамит в почу


Nird
29-05-2017, 17:06
Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.

$lsof | grep 14008
bash 14008 www-data cwd DIR 9,1 4096 2 /
bash 14008 www-data rtd DIR 9,1 4096 2 /
bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl
bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so
bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so
bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so
bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so
bash 14008 www-data mem REG 9,1 18728 922623 /usr/lib/perl/5.18.2/auto/IO/IO.so
bash 14008 www-data mem REG 9,1 4169248 917647 /usr/lib/locale/locale-archive
bash 14008 www-data mem REG 9,1 43368 1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so
bash 14008 www-data mem REG 9,1 141574 1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so
bash 14008 www-data mem REG 9,1 1071552 1443186 /lib/x86_64-linux-gnu/libm-2.19.so
bash 14008 www-data mem REG 9,1 14664 1443192 /lib/x86_64-linux-gnu/libdl-2.19.so
bash 14008 www-data mem REG 9,1 1853216 1443182 /lib/x86_64-linux-gnu/libc-2.19.so
bash 14008 www-data mem REG 9,1 1608280 922610 /usr/lib/libperl.so.5.18.2
bash 14008 www-data mem REG 9,1 149120 1443190 /lib/x86_64-linux-gnu/ld-2.19.so
bash 14008 www-data mem REG 9,1 190966 1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo
bash 14008 www-data mem REG 9,1 26258 920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
bash 14008 www-data 0r CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 1w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 2w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 3u IPv4 427740814 0t0 TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT)
...
Очевидно что скрипт на perl и запускает его bash скрипт. Но откуда ноги растут непонятно.

$whowatch
xSTART: Wed May 24 18:21:30 2017 x
xEXE: /usr/bin/perl x
xROOT: / x
xCWD: /

Как найти виновника "торжества"?

Hangsman
29-05-2017, 19:43
На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера.
Можно еще попробовать
ps -aux
Возможно будет видно адрес файла который запустили

Jula0071
29-05-2017, 21:55
На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера. »

Да это веб-сервер и гадит. Его взломали и шлют спам.

Nird
30-05-2017, 09:15
Да это веб-сервер и гадит. Его взломали и шлют спам. »
Понятно что это вэб сервер. Как найти скрипт который гадит.

ps -aux
Возможно будет видно адрес файла который запустили »

www-data 14008 4.8 0.0 39100 7036 ? Ss мая24 395:29 bash

Hangsman
30-05-2017, 09:52
Я б попробовал проверить лог веб-сервера access.log

Например
cat access.log | grep '.pl'

Nird
30-05-2017, 09:57
cat access.log | grep '.pl' »
не показывает ничего.

Проблема в том, что на сервере крутиться чуть больше чем дофига виртуальных хостов. И парсить логи каждого просто не реально.

Hangsman
30-05-2017, 13:52
Еще варианты ($PID - id процесса)
ls -l /proc/$PID/exe

Скорее всего результат даст первая команда.
Еще варианты как посмотреть информацию по процессу.
ls -l /proc/$PID/cmdline
ls -l /proc/$PID/environ
ps -auxefw | grep $PID

Последние команды выдадут много информации, которую нужно разбирать

Nird
30-05-2017, 14:08
Еще варианты ($PID - id процесса) »
Это все пробовал
$ls -l /proc/14008/exe
lrwxrwxrwx 1 www-data www-data 0 мая 28 05:09 /proc/14008/exe -> /usr/bin/perl

$cat /proc/14008/cmdline
>

cat /proc/14008/environ
>

ps -auxefw | grep 14008 //выдает оч. много информации, но полезного там вроде как нет
root 25455 0.0 0.0 20112 1756 pts/1 R+ 14:02 0:00 \_ ps -auxefw LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;0 1:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31 :*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=0 1;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.d eb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=0 1;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35 :*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*. svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mk v=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=0 1;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35 :*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx =01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00 ;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:* .xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/ps OLDPWD=/proc/14008
root 25456 0.0 0.0 12996 912 pts/1 S+ 14:02 0:00 \_ grep --color=auto 14008 LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;0 1:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31 :*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=0 1;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.d eb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=0 1;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35 :*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*. svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mk v=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=0 1;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35 :*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx =01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00 ;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:* .xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/grep OLDPWD=/proc/14008
www-data 14008 4.9 0.0 39276 7012 ? Ss мая24 415:24 bash

Nird
31-05-2017, 09:24
Посоветовали использовать auditd. Но толку с этим демоном дать не могу. Информации крайне мало, а примеры мало применимы в данной ситуации. Может есть у кого опыт использования аудита?

Jula0071
31-05-2017, 11:06
Посоветовали использовать auditd. Но толку с этим демоном дать не могу. »
Прок от подобного софта есть, когда он установлен до атаки. А сейчас поздно метаться, остаётся только кропотливо искать точку или точки заражения. Которые наверняка во множестве, если используются популярные CMS, а обслуживаются как обычно, то есть никак. Китайцы их ломают на автомате и подсаживают всякую дрянь в один момент.

Ну можете антивирусом пройтись (clamav), rkhunter/lynis тоже может помочь. Если используете какую-либо систему управления хостингом (типа cPanel), то для них есть секьюрити плагины.

Nird
02-06-2017, 10:04
Всем спасибо за ответы.
Будем поискать зловреда. Настроил сканирование кламом каждого нового или измененного файла. rkhunter ничего не нашел, что конечно с одной стороны хорошо, с другой стороны проблема осталась. Буду разбираться с аудитом и искать...




© OSzone.net 2001-2012