Странные процессы perl

[User22]

Доброй ночи!

Наткнулся в системе на странные процессы /usr/sbin/httpd (perl5.8.
Пока разбирался что может быть, один из них стал поедать процессор.

Код: Выделить всё

host# ps -aux | grep perl
root       43911 69,9  0,1  5900  2944  ??  R    сб07   141:43,45 /usr/sbin/httpd (perl5.8.8)
root       43918  0,0  0,1  5892  2836  ??  I    сб07     2:51,64 /usr/sbin/httpd (perl5.8.8)
root       43933  0,0  0,1  5888  2832  ??  I    сб07     2:53,43 /usr/sbin/httpd (perl5.8.8)
root       43954  0,0  0,1  5892  2836  ??  S    сб07     2:53,12 /usr/sbin/httpd (perl5.8.8)
root       75079  0,0  0,1  5892  1776  ??  I    сб15     0:00,00 /usr/sbin/httpd (perl5.8.8)

Самое интересное, какой-то перловый процесс, по показанием сокетстат, биндится на непривилегированном порту

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[User22]

Хм, сокетстат показывал куда идет коннект

Код: Выделить всё

root     perl5.8.8  75079 0  tcp4   89.208.43.54:*        147.8.33.133:45295
root     perl5.8.8  75079 1  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 2  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 5  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 6  tcp4   12.12.12.54:*        66.128.53.220:6667

После того как закрыл фаерволом эти процессы, они все стали поедать процессор.

Код: Выделить всё

43911 root             1 105    0  5900K  2944K CPU0   0 170:22 43.16% perl5.8.8
43933 root             1 100    0  5888K  2832K RUN    1   3:28 19.68% perl5.8.8
43954 root             1 100    0  5892K  2836K RUN    0   3:07 19.38% perl5.8.8
43918 root             1 100    0  5892K  2836K RUN    1   3:03 19.19% perl5.8.8

В итоге, пришлось дать им жесткий kill

[manefesto]

cat /usr/sbin/httpd

[thefree]

http://forum.lissyara.su/viewtopic.php?f=17&t=26953

[User22]

cat /usr/sbin/httpd

А нет такого, мало того, там нечего, и небыло, хешь за все времена один.

П.С., А с какого перепугу, тему перенесли?))

[manefesto]

ну типа тема обсуждалась

[gonzo111]

Код: Выделить всё

root       43911 69,9  0,1  5900  2944  ??  R    сб07   141:43,45 /usr/sbin/httpd (perl5.8.8)
root       43918  0,0  0,1  5892  2836  ??  I    сб07     2:51,64 /usr/sbin/httpd (perl5.8.8)
root       43933  0,0  0,1  5888  2832  ??  I    сб07     2:53,43 /usr/sbin/httpd (perl5.8.8)
root       43954  0,0  0,1  5892  2836  ??  S    сб07     2:53,12 /usr/sbin/httpd (perl5.8.8)

мне вот всегда было интересно почему программы на перле (питоне) отображаютя в процессах ,так что это пашет перл, а не просто взять и установить свое имя процесса ?
пока полный путь не глянешь хрен же их друг от друга в списке отличишь

[User22]

ну типа тема обсуждалась

Какая? Каким оброзом умудрились поднять привелегии?
Та тема относится к этой также, как температура на марсе к удою коров в деревне васильки.

[manefesto]

ты же про uname -a ничо не сказал.

[thefree]

ну типа тема обсуждалась

Какая? Каким оброзом умудрились поднять привелегии?
Та тема относится к этой также, как температура на марсе к удою коров в деревне васильки.

уверены?

[savio]

подскажите как вычеслить через чей аккаунт заливают эти файлы?
в логах ftp-ничего подозрительного
сейчас запущены эти скрипты

Код: Выделить всё

[root@~]# ps ax|grep perl
14923  ??  S      0:03.91 /usr/sbin/httpd (perl5.8.9)
14970  ??  S      0:11.68 /usr/sbin/httpd (perl5.8.9)
15277  ??  S      0:12.92 /usr/sbin/httpd (perl5.8.9)
15365  ??  S      0:14.62 /usr/sbin/httpd (perl5.8.9)
15368  ??  S      0:13.23 /usr/sbin/httpd (perl5.8.9)
15405  ??  S      0:15.02 /usr/sbin/httpd (perl5.8.9)
15441  ??  S      0:13.26 /usr/sbin/httpd (perl5.8.9)
15457  ??  S      0:14.83 /usr/sbin/httpd (perl5.8.9)
15500  ??  S      0:14.55 /usr/sbin/httpd (perl5.8.9)
15596  ??  S      0:14.45 /usr/sbin/httpd (perl5.8.9)
15613  ??  S      0:13.46 /usr/sbin/httpd (perl5.8.9)
15636  ??  S      0:12.90 /usr/sbin/httpd (perl5.8.9)
23817  ??  R     25:38.72 /usr/sbin/httpd (perl5.8.9)
31027  ??  S      0:11.70 /usr/sbin/httpd (perl5.8.9)
31044  ??  S      0:12.06 /usr/sbin/httpd (perl5.8.9)
31057  ??  S      0:11.84 /usr/sbin/httpd (perl5.8.9)
31073  ??  S      0:10.55 /usr/sbin/httpd (perl5.8.9)
31086  ??  S      0:11.99 /usr/sbin/httpd (perl5.8.9)

исход трафика 35Мбит/с
убить процесс я то убью, но как узнать где находиться сам скрипт?

[Alex Keda]

Код: Выделить всё

ps -auxww

[savio]

жаль я их уже грохнул.....
скрипты запускались от пользователя apache.
ломились на 88.191.70.92 на порт 137....
маскируются под апач. только процессы апача выглядят как

Код: Выделить всё

[root@ /var/log/httpd]# ps ax|grep http
20238  ??  S      0:58.32 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
20240  ??  S      0:58.62 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
22977  ??  S      1:04.10 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23017  ??  S      1:00.29 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23648  ??  S      0:47.94 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23649  ??  S      0:50.39 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
...

а скрипта как

Код: Выделить всё

...
14923  ??  S      0:03.91 /usr/sbin/httpd (perl5.8.9)
14970  ??  S      0:11.68 /usr/sbin/httpd (perl5.8.9)
15277  ??  S      0:12.92 /usr/sbin/httpd (perl5.8.9)
15365  ??  S      0:14.62 /usr/sbin/httpd (perl5.8.9)
15368  ??  S      0:13.23 /usr/sbin/httpd (perl5.8.9)
15405  ??  S      0:15.02 /usr/sbin/httpd (perl5.8.9)
...

подскажите как выловить через кого засылают?
пересмотрел лог proftpd на наличие *.pl - не обнаружено...
может заливают php скрипт, который создает уже этот perl-скрипт.
а запускают как? через php - exec("script.pl") или через веб-браузер http://site.my/.../script.pl
как-то можно логировать exec у php?
в общем миллион вопросов..........

[savio]

Появился новый процесc, косит под cron

last pid: 36023; load averages: 1.96, 1.77, 1.47 up 17+02:21:18 10:34:58
128 processes: 5 running, 123 sleeping
CPU states: 31.8% user, 0.0% nice, 28.5% system, 0.6% interrupt, 39.2% idle
Mem: 1029M Active, 2030M Inact, 278M Wired, 128M Cache, 112M Buf, 50M Free
Swap: 8192M Total, 544K Used, 8191M Free

PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
33692 apache 1 115 0 4096K 3492K CPU2 0 17:02 99.85% perl5.8.9
35452 apache 1 20 0 78564K 30860K lockf 0 0:10 12.94% httpd
25125 apache 1 4 0 78004K 35816K sbwait 3 1:07 10.55% httpd
32592 apache 1 20 0 86712K 43320K lockf 0 0:17 8.89% httpd
1026 mysql 26 20 0 348M 167M kserel 0 70.2H 6.30% mysqld
...

Код: Выделить всё

[root@ /var/cron/tabs]# ps -auxww|grep perl
apache 33692 99.7  0.1  4096  3492  ??  R    10:17AM  17:49.01 crond (perl5.8.9)
root   36102  0.0  0.0  1600   920  p3  S+   10:35AM   0:00.00 grep perl
[root@ /var/cron/tabs]#

как быть?

[savio]

как можно логировать все операции с файловой системой? какая папка/файл созданы, удалены и так далее.....???

[thefree]

RSS: Новости для http://www.opennet.ru/opennews/opennews_sec.rss

Код: Выделить всё

OpenNews.opennet.ru: Проблемы безопасности
• Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

[Mortalis]

Это действительно связанно с взломом сервера ProFTPD, решается просто - сносится ProFTPD, включается родной FTPD, и левые процессы исчезают. Говорят, в версиях ProFTPD выпущенных после взлома наблюдаются залипания и проблемы с кодировкой.

[saraceen]

судя по всему proftpd-mysql-1.3.2a тоже подвержен этой бяке
в /etc появились файлы типа aawncnzmesendqq на них даже drweb ругается freebsd.backdoor.irc.1
как эту бяку удалять?

[FreeBSP]

обновить больные пакеты на чистые версии