Друзья, прошу помочь. Не могу найти зловреда, но он есть.
httpd.pl 32700 admin 3u IPv4 35294176 0t0 TCP *:39331 (LISTEN)
httpd.pl 32700 admin 4u IPv4 29360159 0t0 TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT)
httpd.pl 32700 admin 5u IPv4 29360160 0t0 TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT)
httpd.pl 32700 admin 6u IPv4 31043999 0t0 TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT)
httpd.pl 32700 admin 7u IPv4 31044000 0t0 TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT)
httpd.pl 32700 admin 8u IPv4 32973353 0t0 TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT)
httpd.pl 32700 admin 9u IPv4 32973354 0t0 TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT)
процесс, который рассылает спам с сервера, напрямую подключаясь к серверам.
В процессах он виден следующим образом:
root@myeverest:/var/www/myeverest.ru# ps aux | grep admin
admin 923 0.2 0.2 47928 14684 ? Ss 15:58 0:00 mail
admin 5247 4.0 0.1 33124 7596 ? Ss Mar31 77:14 mail
admin 5248 3.5 0.1 34392 8924 ? Ss Mar31 66:53 mail
Проверка используемых файлов процессом особо ничего не дает:
httpd.pl 5247 admin cwd DIR 254,1 4096 2 /
httpd.pl 5247 admin rtd DIR 254,1 4096 2 /
httpd.pl 5247 admin txt REG 254,1 7360 1312466 /usr/bin/perl
httpd.pl 5247 admin mem REG 254,1 21256 1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so
httpd.pl 5247 admin mem REG 254,1 120600 1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so
httpd.pl 5247 admin mem REG 254,1 18120 1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so
httpd.pl 5247 admin mem REG 254,1 25976 1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so
httpd.pl 5247 admin mem REG 254,1 19920 1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so
httpd.pl 5247 admin mem REG 254,1 35104 131103 /lib/libcrypt-2.11.3.so
httpd.pl 5247 admin mem REG 254,1 1437064 131097 /lib/libc-2.11.3.so
httpd.pl 5247 admin mem REG 254,1 131258 131088 /lib/libpthread-2.11.3.so
httpd.pl 5247 admin mem REG 254,1 530736 131110 /lib/libm-2.11.3.so
httpd.pl 5247 admin mem REG 254,1 14696 131109 /lib/libdl-2.11.3.so
httpd.pl 5247 admin mem REG 254,1 1495784 1316155 /usr/lib/libperl.so.5.10.1
httpd.pl 5247 admin mem REG 254,1 128744 131091 /lib/ld-2.11.3.so
httpd.pl 5247 admin 0r CHR 1,3 0t0 560 /dev/null
httpd.pl 5247 admin 1w CHR 1,3 0t0 560 /dev/null
httpd.pl 5247 admin 2w CHR 1,3 0t0 560 /dev/null
Искал и find и т.п. не удалось мне понять, как эта дрянь работает.
Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
Вообщем не знаю, куда дальше копать.
>[оверквотинг удален]
> httpd.pl 5247 admin 1w CHR
> 1,3 0t0
> 560 /dev/null
> httpd.pl 5247 admin 2w CHR
> 1,3 0t0
> 560 /dev/null
> Искал и find и т.п. не удалось мне понять, как эта дрянь
> работает.
> Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
> Вообщем не знаю, куда дальше копать.Как вариант
Ищем кто что передает:netstat -anp
У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него права и делаем
chmod 000 /path/to/mailПосле чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
>[оверквотинг удален]
>> работает.
>> Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
>> Вообщем не знаю, куда дальше копать.
> Как вариант
> Ищем кто что передает:
> netstat -anp
> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
> права и делаем
> chmod 000 /path/to/mail
> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....Добрый день.
Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat ни через логи mail следов не получилось пока. Установил drweb, запустил, вдруг найдет чего.
>[оверквотинг удален]
>> Ищем кто что передает:
>> netstat -anp
>> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
>> права и делаем
>> chmod 000 /path/to/mail
>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
> Добрый день.
> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
> ни через логи mail следов не получилось пока. Установил drweb, запустил,
> вдруг найдет чего.дырявые скрипты на веб сервере?
>[оверквотинг удален]
>>> netstat -anp
>>> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
>>> права и делаем
>>> chmod 000 /path/to/mail
>>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
>> Добрый день.
>> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
>> ни через логи mail следов не получилось пока. Установил drweb, запустил,
>> вдруг найдет чего.
> дырявые скрипты на веб сервере?Вполне возможно, но я не спец по ним, все возможные сканеры ничего не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел. httpd.pl живет и здравствует.
>[оверквотинг удален]
>>>> chmod 000 /path/to/mail
>>>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
>>> Добрый день.
>>> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
>>> ни через логи mail следов не получилось пока. Установил drweb, запустил,
>>> вдруг найдет чего.
>> дырявые скрипты на веб сервере?
> Вполне возможно, но я не спец по ним, все возможные сканеры ничего
> не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел.
> httpd.pl живет и здравствует.После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы исполняемые), но очень живучий и продолжал жить в оперативке
Всем спасибо!
> После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы
> исполняемые), но очень живучий и продолжал жить в оперативке
> Всем спасибо!наивно. что помешает боту залить через дыру новый? )))
к тому же я бы советовал вам хорошо подумать прежде чем запускать скрипты под веб по такими пользователями как admin, root, и т.д.