Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Непонятный процесс спамит в почу (http://forum.oszone.net/showthread.php?t=327166)

Nird 29-05-2017 17:06 2740545
Непонятный процесс спамит в почу
 
Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.

Код:
$lsof | grep 14008
bash      14008              www-data  cwd      DIR                9,1      4096          2 /
bash      14008              www-data  rtd      DIR                9,1      4096          2 /
bash      14008              www-data  txt      REG                9,1      10416    922609 /usr/bin/perl
bash      14008              www-data  mem      REG                9,1      27104    922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so
bash      14008              www-data  mem      REG                9,1      85232    922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so
bash      14008              www-data  mem      REG                9,1      18632    922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so
bash      14008              www-data  mem      REG                9,1      43416    922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so
bash      14008              www-data  mem      REG                9,1      18728    922623 /usr/lib/perl/5.18.2/auto/IO/IO.so
bash      14008              www-data  mem      REG                9,1    4169248    917647 /usr/lib/locale/locale-archive
bash      14008              www-data  mem      REG                9,1      43368    1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so
bash      14008              www-data  mem      REG                9,1    141574    1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so
bash      14008              www-data  mem      REG                9,1    1071552    1443186 /lib/x86_64-linux-gnu/libm-2.19.so
bash      14008              www-data  mem      REG                9,1      14664    1443192 /lib/x86_64-linux-gnu/libdl-2.19.so
bash      14008              www-data  mem      REG                9,1    1853216    1443182 /lib/x86_64-linux-gnu/libc-2.19.so
bash      14008              www-data  mem      REG                9,1    1608280    922610 /usr/lib/libperl.so.5.18.2
bash      14008              www-data  mem      REG                9,1    149120    1443190 /lib/x86_64-linux-gnu/ld-2.19.so
bash      14008              www-data  mem      REG                9,1    190966    1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo
bash      14008              www-data  mem      REG                9,1      26258    920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
bash      14008              www-data    0r      CHR                1,3        0t0  165203553 /dev/null
bash      14008              www-data    1w      CHR                1,3        0t0  165203553 /dev/null
bash      14008              www-data    2w      CHR                1,3        0t0  165203553 /dev/null
bash      14008              www-data    3u    IPv4          427740814        0t0        TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT)
...
Очевидно что скрипт на perl и запускает его bash скрипт. Но откуда ноги растут непонятно.

Код:
$whowatch
xSTART: Wed May 24 18:21:30 2017                  x
xEXE: /usr/bin/perl                                x
xROOT: /                                          x
xCWD: /
Как найти виновника "торжества"?

Hangsman 29-05-2017 19:43 2740590
На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера.
Можно еще попробовать
ps -aux
Возможно будет видно адрес файла который запустили

Jula0071 29-05-2017 21:55 2740616
Цитата:
Цитата Hangsman
На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера. »
Да это веб-сервер и гадит. Его взломали и шлют спам.

Nird 30-05-2017 09:15 2740710
Цитата:
Цитата Jula0071
Да это веб-сервер и гадит. Его взломали и шлют спам. »
Понятно что это вэб сервер. Как найти скрипт который гадит.

Цитата:
Цитата Hangsman
ps -aux
Возможно будет видно адрес файла который запустили »
Код:
www-data 14008  4.8  0.0  39100  7036 ?        Ss  мая24 395:29 bash

Hangsman 30-05-2017 09:52 2740725
Я б попробовал проверить лог веб-сервера access.log

Например
cat access.log | grep '.pl'

Nird 30-05-2017 09:57 2740726
Цитата:
Цитата Hangsman
cat access.log | grep '.pl' »
не показывает ничего.

Проблема в том, что на сервере крутиться чуть больше чем дофига виртуальных хостов. И парсить логи каждого просто не реально.

Hangsman 30-05-2017 13:52 2740787
Еще варианты ($PID - id процесса)
ls -l /proc/$PID/exe

Скорее всего результат даст первая команда.
Еще варианты как посмотреть информацию по процессу.
ls -l /proc/$PID/cmdline
ls -l /proc/$PID/environ
ps -auxefw | grep $PID

Последние команды выдадут много информации, которую нужно разбирать

Nird 30-05-2017 14:08 2740790
Цитата:
Цитата Hangsman
Еще варианты ($PID - id процесса) »
Это все пробовал
Код:
$ls -l /proc/14008/exe
lrwxrwxrwx 1 www-data www-data 0 мая  28 05:09 /proc/14008/exe -> /usr/bin/perl

$cat /proc/14008/cmdline
>

cat /proc/14008/environ
>

ps -auxefw | grep 14008 //выдает оч. много информации, но полезного там вроде как нет

           
           

               
Скрытый текст

               
               

                    root    25455  0.0  0.0  20112  1756 pts/1    R+  14:02  0:00          \_ ps -auxefw LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/ps OLDPWD=/proc/14008
root    25456  0.0  0.0  12996  912 pts/1    S+  14:02  0:00          \_ grep --color=auto 14008 LC_PAPER=ru_RU.UTF-8 XDG_SESSION_ID=268 LC_ADDRESS=ru_RU.UTF-8 LC_MONETARY=ru_RU.UTF-8 COMP_WORDBREAKS= ? "'><;|&(: TERM=xterm-256color SHELL=/bin/bash SSH_CLIENT=x.x.x.x 48246 22 LC_NUMERIC=ru_RU.UTF-8 SSH_TTY=/dev/pts/1 USER=root LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: LC_TELEPHONE=ru_RU.UTF-8 MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games LC_IDENTIFICATION=ru_RU.UTF-8 PWD=/proc/14008/fd LANG=ru_RU.UTF-8 LC_MEASUREMENT=ru_RU.UTF-8 SHLVL=1 HOME=/root LOGNAME=root SSH_CONNECTION=x.x.x.x 48246 x.x.x.x 22 LESSOPEN=| /usr/bin/lesspipe %s XDG_RUNTIME_DIR=/run/user/0 LESSCLOSE=/usr/bin/lesspipe %s %s LC_TIME=ru_RU.UTF-8 LC_NAME=ru_RU.UTF-8 _=/bin/grep OLDPWD=/proc/14008
www-data 14008  4.9  0.0  39276  7012 ?        Ss  мая24 415:24 bash
               

               
           
                             
           

Nird 31-05-2017 09:24 2740970
Посоветовали использовать auditd. Но толку с этим демоном дать не могу. Информации крайне мало, а примеры мало применимы в данной ситуации. Может есть у кого опыт использования аудита?

Jula0071 31-05-2017 11:06 2741010
Цитата:
Цитата Nird
Посоветовали использовать auditd. Но толку с этим демоном дать не могу. »
Прок от подобного софта есть, когда он установлен до атаки. А сейчас поздно метаться, остаётся только кропотливо искать точку или точки заражения. Которые наверняка во множестве, если используются популярные CMS, а обслуживаются как обычно, то есть никак. Китайцы их ломают на автомате и подсаживают всякую дрянь в один момент.

Ну можете антивирусом пройтись (clamav), rkhunter/lynis тоже может помочь. Если используете какую-либо систему управления хостингом (типа cPanel), то для них есть секьюрити плагины.

Nird 02-06-2017 10:04 2741529
Всем спасибо за ответы.
Будем поискать зловреда. Настроил сканирование кламом каждого нового или измененного файла. rkhunter ничего не нашел, что конечно с одной стороны хорошо, с другой стороны проблема осталась. Буду разбираться с аудитом и искать...


Время: 20:26.

Время: 20:26.
© OSzone.net 2001-