|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Непонятный процесс спамит в почу |
|
|
Debian/Ubuntu - Непонятный процесс спамит в почу
|
Пользователь Сообщения: 93 |
Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается. Код:
 $lsof | grep 14008 bash 14008 www-data cwd DIR 9,1 4096 2 / bash 14008 www-data rtd DIR 9,1 4096 2 / bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so bash 14008 www-data mem REG 9,1 18728 922623 /usr/lib/perl/5.18.2/auto/IO/IO.so bash 14008 www-data mem REG 9,1 4169248 917647 /usr/lib/locale/locale-archive bash 14008 www-data mem REG 9,1 43368 1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so bash 14008 www-data mem REG 9,1 141574 1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so bash 14008 www-data mem REG 9,1 1071552 1443186 /lib/x86_64-linux-gnu/libm-2.19.so bash 14008 www-data mem REG 9,1 14664 1443192 /lib/x86_64-linux-gnu/libdl-2.19.so bash 14008 www-data mem REG 9,1 1853216 1443182 /lib/x86_64-linux-gnu/libc-2.19.so bash 14008 www-data mem REG 9,1 1608280 922610 /usr/lib/libperl.so.5.18.2 bash 14008 www-data mem REG 9,1 149120 1443190 /lib/x86_64-linux-gnu/ld-2.19.so bash 14008 www-data mem REG 9,1 190966 1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo bash 14008 www-data mem REG 9,1 26258 920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache bash 14008 www-data 0r CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 1w CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 2w CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 3u IPv4 427740814 0t0 TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT) ... Код:
$whowatch xSTART: Wed May 24 18:21:30 2017 x xEXE: /usr/bin/perl x xROOT: / x xCWD: / |
|
|
------- Отправлено: 17:06, 29-05-2017 |
|
Пользователь Сообщения: 93
|
Профиль | Отправить PM | Цитировать Всем спасибо за ответы.
Будем поискать зловреда. Настроил сканирование кламом каждого нового или измененного файла. rkhunter ничего не нашел, что конечно с одной стороны хорошо, с другой стороны проблема осталась. Буду разбираться с аудитом и искать... |
|
------- Отправлено: 10:04, 02-06-2017 | #11 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - ''' | beigemidnight | Microsoft Windows 10 | 2 | 02-11-2016 10:55 | |
| Разное - [решено] Непонятный процесс | Denisoff | Microsoft Windows 7 | 12 | 21-12-2012 20:55 | |
| VBS/WSH/JS - [решено] Открыть привод, корректно убить процесс, закрыть привод и снова убить процесс - как? | Nun-Nun | Скриптовые языки администрирования Windows | 8 | 31-10-2011 15:25 | |
| Разное - [решено] Непонятный процесс wuauclt.exe | santana109 | Microsoft Windows 2000/XP | 6 | 22-01-2009 12:55 | |
| Непонятный процесс elitegdc32.exe | Quest | Защита компьютерных систем | 4 | 27-04-2005 02:05 | |
|
|
Время: 20:46. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
