Доброго дня.
Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.$lsof | grep 14008
bash 14008 www-data cwd DIR 9,1 4096 2 /
bash 14008 www-data rtd DIR 9,1 4096 2 /
bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl
bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so
bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so
bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so
bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket.so
bash 14008 www-data mem REG 9,1 18728 922623 /usr/lib/perl/5.18.2/auto/IO/IO.so
bash 14008 www-data mem REG 9,1 4169248 917647 /usr/lib/locale/locale-archive
bash 14008 www-data mem REG 9,1 43368 1443180 /lib/x86_64-linux-gnu/libcrypt-2.19.so
bash 14008 www-data mem REG 9,1 141574 1443193 /lib/x86_64-linux-gnu/libpthread-2.19.so
bash 14008 www-data mem REG 9,1 1071552 1443186 /lib/x86_64-linux-gnu/libm-2.19.so
bash 14008 www-data mem REG 9,1 14664 1443192 /lib/x86_64-linux-gnu/libdl-2.19.so
bash 14008 www-data mem REG 9,1 1853216 1443182 /lib/x86_64-linux-gnu/libc-2.19.so
bash 14008 www-data mem REG 9,1 1608280 922610 /usr/lib/libperl.so.5.18.2
bash 14008 www-data mem REG 9,1 149120 1443190 /lib/x86_64-linux-gnu/ld-2.19.so
bash 14008 www-data mem REG 9,1 190966 1186997 /usr/share/locale-langpack/ru/LC_MESSAGES/libc.mo
bash 14008 www-data mem REG 9,1 26258 920574 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
bash 14008 www-data 0r CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 1w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 2w CHR 1,3 0t0 165203553 /dev/null
bash 14008 www-data 3u IPv4 427740814 0t0 TCP server.ru:59516->mx1.hotmail.com:smtp (SYN_SENT)
...
Очевидно что скрипт на perl и запускает его bash скрипт. Но откуда ноги растут непонятно.$whowatch
xSTART: Wed May 24 18:21:30 2017 x
xEXE: /usr/bin/perl x
xROOT: / x
xCWD: /Как найти виновника "торжества"?
>[оверквотинг удален]
> x
> xEXE: /usr/bin/perl
>
> x
> xROOT: /
>
>
> x
> xCWD: /
> Как найти виновника "торжества"?auditd/systemtap
>[оверквотинг удален]
>> xEXE: /usr/bin/perl
>>
>> x
>> xROOT: /
>>
>>
>> x
>> xCWD: /
>> Как найти виновника "торжества"?
> auditd/systemtapСудя по описанию - то что надо. Но, не могу разобраться как с этим работать. Какое правило создать что бы записать логи процесса, или пользователя.
добавил такое:
-a exit,always -S open -F loginuid=33Правда при рестарте выдает варнинг:
WARNING - 32/64 bit syscall mismatch in line 15, you should specify an archИ в логах не появляется интересующий процесс.
ausearch -p 14008 --raw | aureport -f -i
File Report
===============================================
# date time file syscall success exe auid event
===============================================
<no events of interest were found>
> www-dataапач?
мониторинг какойнить?
>> www-data
> апач?
> мониторинг какойнить?Да подломили и затроянили его, вот и всё.