Незнакомые процессы

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Незнакомые процессы

Непрочитанное сообщение 100matolog » 2011-08-16 9:37:37

Арендую два сервера
На проблемном стоит

Код: Выделить всё

uname -a
FreeBSD vo27.3-RELEASE FreeBSD 7.3-RELEASE #0: Tue Jan 18 15:51:38 EET 2011     maxim@vo2:/usr/obj/usr/src/sys/VO2  amd64
на втором

Код: Выделить всё

uname -a
FreeBSD vo1 7.3-RELEASE FreeBSD 7.3-RELEASE #1: Wed Jan 19 16:40:34 EET 2011     root@vo1:/usr/obj/usr/src/sys/VO1  amd64
заинтересовало наличие непонятных процессов

Код: Выделить всё

[root@vo2 ~]# ps ax | grep perl
 7005  ??  S      7:46.28 /sbin/syslogd (perl5.10.1)
 7006  ??  S      3:24.06 /sbin/klogd -c 1 -x -x (perl5.10.1)
 9055  ??  S      9:52.79 /sbin/syslogd (perl5.10.1)
10398  ??  S      2:28.99 /usr/sbin/httpd (perl5.10.1)
10399  ??  S      2:29.44 /usr/sbin/httpd (perl5.10.1)
12936  ??  S      7:23.21 /usr/sbin/cron (perl5.10.1)
12950  ??  S      9:54.71 /sbin/klogd -c 1 -x -x (perl5.10.1)
35843  ??  S      2:29.20 /usr/sbin/httpd (perl5.10.1)
35845  ??  S      4:22.34 /usr/sbin/httpd (perl5.10.1)
45736  ??  I      0:00.00 /sbin/klogd -c 1 -x -x (perl5.10.1)
45739  ??  S      1:45.05 inetd (perl5.10.1)
65242  ??  S      1:22.75 /sbin/klogd -c 1 -x -x (perl5.10.1)
65243  ??  S      1:11.65 [eth0] (perl5.10.1)
65533  ??  S      1:58.41 /usr/sbin/httpd (perl5.10.1)
65604  ??  S      4:07.16 /usr/sbin/cron (perl5.10.1)
65605  ??  S      4:06.50 /usr/sbin/acpid (perl5.10.1)
72222  ??  S     15:08.02 /sbin/klogd -c 1 -x -x (perl5.10.1)
87757  ??  S      0:45.63 /usr/sbin/httpd (perl5.10.1)
90768  ??  S     10:36.19 [eth0] (perl5.10.1)
90769  ??  S      3:05.17 /usr/local/apache/bin/httpd -DSSL (perl5.10.1)
98914  p1  S+     0:00.00 grep perl
На втором сервере такого нет.
Что могло породить такие процессы?
Последний раз редактировалось f_andrey 2011-08-16 13:51:24, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ev
ст. лейтенант
Сообщения: 1322
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Незнакомые процессы

Непрочитанное сообщение ev » 2011-08-16 12:12:13

это значит что перловый скрипт меняет себе имя для маскировки
т.е. с большой вероятностью сервак ломанули

100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Незнакомые процессы

Непрочитанное сообщение 100matolog » 2011-08-16 12:13:34

ev писал(а):это значит что перловый скрипт меняет себе имя для маскировки
т.е. с большой вероятностью сервак ломанули
как прибить?

ev
ст. лейтенант
Сообщения: 1322
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: Незнакомые процессы

Непрочитанное сообщение ev » 2011-08-16 12:50:10

как прибить?
kill -9
дальше
1. найти файлы и убить
2. найти как они запускаются (скрипты загрузки, крон и т.д. и т.п.)
3. найти через какую дыру лезут ;)

100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Незнакомые процессы

Непрочитанное сообщение 100matolog » 2011-08-16 12:56:56

ev писал(а):
как прибить?
kill -9
дальше
1. найти файлы и убить
2. найти как они запускаются (скрипты загрузки, крон и т.д. и т.п.)
3. найти через какую дыру лезут ;)
смотрю уже в сторону http://www.chkrootkit.org