|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Непонятный процесс спамит в почу |
|
|
Debian/Ubuntu - Непонятный процесс спамит в почу
|
Пользователь Сообщения: 93 |
Профиль | Отправить PM | Цитировать Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается. $lsof | grep 14008 bash 14008 www-data cwd DIR 9,1 4096 2 / bash 14008 www-data rtd DIR 9,1 4096 2 / bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so bash 14008 www-data mem REG 9,1 18728 922623 /usr/lib/perl/5.18.2/auto/IO/IO.so bash 14008 www-data mem REG 9,1 4169248 917647 /usr/lib/locale/locale-archive bash 14008 www-data mem REG 9,1 43368 1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so bash 14008 www-data mem REG 9,1 141574 1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so bash 14008 www-data mem REG 9,1 1071552 1443186 /lib/x86_64-linux-gnu/libm-2.19.so bash 14008 www-data mem REG 9,1 14664 1443192 /lib/x86_64-linux-gnu/libdl-2.19.so bash 14008 www-data mem REG 9,1 1853216 1443182 /lib/x86_64-linux-gnu/libc-2.19.so bash 14008 www-data mem REG 9,1 1608280 922610 /usr/lib/libperl.so.5.18.2 bash 14008 www-data mem REG 9,1 149120 1443190 /lib/x86_64-linux-gnu/ld-2.19.so bash 14008 www-data mem REG 9,1 190966 1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo bash 14008 www-data mem REG 9,1 26258 920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache bash 14008 www-data 0r CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 1w CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 2w CHR 1,3 0t0 165203553 /dev/null bash 14008 www-data 3u IPv4 427740814 0t0 TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT) ... Как найти виновника "торжества"? |
|
------- Отправлено: 17:06, 29-05-2017 |
Пользователь Сообщения: 55
|
Профиль | Отправить PM | Цитировать На скролько я понимаю, запуст с под имени пользователя веб-сервера - поэтому для начала обращения по логу веб-сервера.
Можно еще попробовать ps -aux Возможно будет видно адрес файла который запустили |
Отправлено: 19:43, 29-05-2017 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Забанен Сообщения: 6345
|
Цитата Hangsman:
|
|
Отправлено: 21:55, 29-05-2017 | #3 |
Пользователь Сообщения: 93
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 09:15, 30-05-2017 | #4 |
Пользователь Сообщения: 55
|
Профиль | Отправить PM | Цитировать Я б попробовал проверить лог веб-сервера access.log
Например cat access.log | grep '.pl' |
|
Отправлено: 09:52, 30-05-2017 | #5 |
Пользователь Сообщения: 93
|
Профиль | Отправить PM | Цитировать Цитата Hangsman:
Проблема в том, что на сервере крутиться чуть больше чем дофига виртуальных хостов. И парсить логи каждого просто не реально. |
|
------- Отправлено: 09:57, 30-05-2017 | #6 |
Пользователь Сообщения: 55
|
Профиль | Отправить PM | Цитировать Еще варианты ($PID - id процесса)
ls -l /proc/$PID/exe Скорее всего результат даст первая команда. Еще варианты как посмотреть информацию по процессу. ls -l /proc/$PID/cmdline ls -l /proc/$PID/environ ps -auxefw | grep $PID Последние команды выдадут много информации, которую нужно разбирать |
Отправлено: 13:52, 30-05-2017 | #7 |
Пользователь Сообщения: 93
|
Профиль | Отправить PM | Цитировать Цитата Hangsman:
$ls -l /proc/14008/exe lrwxrwxrwx 1 www-data www-data 0 мая 28 05:09 /proc/14008/exe -> /usr/bin/perl $cat /proc/14008/cmdline > cat /proc/14008/environ > ps -auxefw | grep 14008 //выдает оч. много информации, но полезного там вроде как нет |
|
------- Отправлено: 14:08, 30-05-2017 | #8 |
Пользователь Сообщения: 93
|
Профиль | Отправить PM | Цитировать Посоветовали использовать auditd. Но толку с этим демоном дать не могу. Информации крайне мало, а примеры мало применимы в данной ситуации. Может есть у кого опыт использования аудита?
|
------- Отправлено: 09:24, 31-05-2017 | #9 |
Забанен Сообщения: 6345
|
Цитата Nird:
Ну можете антивирусом пройтись (clamav), rkhunter/lynis тоже может помочь. Если используете какую-либо систему управления хостингом (типа cPanel), то для них есть секьюрити плагины. |
|
Отправлено: 11:06, 31-05-2017 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Разное - ''' | beigemidnight | Microsoft Windows 10 | 2 | 02-11-2016 10:55 | |
Разное - [решено] Непонятный процесс | Denisoff | Microsoft Windows 7 | 12 | 21-12-2012 20:55 | |
VBS/WSH/JS - [решено] Открыть привод, корректно убить процесс, закрыть привод и снова убить процесс - как? | Nun-Nun | Скриптовые языки администрирования Windows | 8 | 31-10-2011 15:25 | |
Разное - [решено] Непонятный процесс wuauclt.exe | santana109 | Microsoft Windows 2000/XP | 6 | 22-01-2009 12:55 | |
Непонятный процесс elitegdc32.exe | Quest | Защита компьютерных систем | 4 | 27-04-2005 02:05 |
|