Debian/Ubuntu

Hangsman · Отправлено: **19:43, 29-05-2017** | #2

На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера.
Можно еще попробовать
ps -aux
Возможно будет видно адрес файла который запустили

Jula0071 · Отправлено: **21:55, 29-05-2017** | #3

Цитата Hangsman:

На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера. »

Да это веб-сервер и гадит. Его взломали и шлют спам.

Nird · Отправлено: **09:15, 30-05-2017** | #4

Цитата Jula0071:

Да это веб-сервер и гадит. Его взломали и шлют спам. »

Понятно что это вэб сервер. Как найти скрипт который гадит.

Цитата Hangsman:

ps -aux
Возможно будет видно адрес файла который запустили »

Код:

www-data 14008  4.8  0.0  39100  7036 ?        Ss   мая24 395:29 bash

Hangsman · Отправлено: **09:52, 30-05-2017** | #5

Я б попробовал проверить лог веб-сервера access.log

Например
cat access.log | grep '.pl'

Nird · Отправлено: **09:57, 30-05-2017** | #6

Цитата Hangsman:

cat access.log | grep '.pl' »

не показывает ничего.

Проблема в том, что на сервере крутиться чуть больше чем дофига виртуальных хостов. И парсить логи каждого просто не реально.

Hangsman · Отправлено: **13:52, 30-05-2017** | #7

Еще варианты ($PID - id процесса)
ls -l /proc/$PID/exe

Скорее всего результат даст первая команда.
Еще варианты как посмотреть информацию по процессу.
ls -l /proc/$PID/cmdline
ls -l /proc/$PID/environ
ps -auxefw | grep $PID

Последние команды выдадут много информации, которую нужно разбирать

Nird · Отправлено: **14:08, 30-05-2017** | #8

Цитата Hangsman:

Еще варианты ($PID - id процесса) »

Это все пробовал

Код:

$ls -l /proc/14008/exe
lrwxrwxrwx 1 www-data www-data 0 мая   28 05:09 /proc/14008/exe -> /usr/bin/perl

$cat /proc/14008/cmdline
>

cat /proc/14008/environ
>

ps -auxefw | grep 14008 //выдает оч. много информации, но полезного там вроде как нет

            
            
                Скрытый текст
                
                
                    root     25455  0.0  0.0  20112  1756 pts/1    R+   14:02   0:00          \_ ps -auxefw LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/ps OLDPWD=/proc/14008
root     25456  0.0  0.0  12996   912 pts/1    S+   14:02   0:00          \_ grep --color=auto 14008 LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/grep OLDPWD=/proc/14008
www-data 14008  4.9  0.0  39276  7012 ?        Ss   мая24 415:24 bash

Nird · Отправлено: **09:24, 31-05-2017** | #9

Посоветовали использовать auditd. Но толку с этим демоном дать не могу. Информации крайне мало, а примеры мало применимы в данной ситуации. Может есть у кого опыт использования аудита?

Jula0071 · Отправлено: **11:06, 31-05-2017** | #10

Цитата Nird:

Посоветовали использовать auditd. Но толку с этим демоном дать не могу. »

Прок от подобного софта есть, когда он установлен до атаки. А сейчас поздно метаться, остаётся только кропотливо искать точку или точки заражения. Которые наверняка во множестве, если используются популярные CMS, а обслуживаются как обычно, то есть никак. Китайцы их ломают на автомате и подсаживают всякую дрянь в один момент.

Ну можете антивирусом пройтись (clamav), rkhunter/lynis тоже может помочь. Если используете какую-либо систему управления хостингом (типа cPanel), то для них есть секьюрити плагины.