Странные процессы perl

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
User22
проходил мимо

Странные процессы perl

Непрочитанное сообщение User22 » 2010-12-01 0:53:53

Доброй ночи!

Наткнулся в системе на странные процессы /usr/sbin/httpd (perl5.8.8)
Пока разбирался что может быть, один из них стал поедать процессор.

Код: Выделить всё

host# ps -aux | grep perl
root       43911 69,9  0,1  5900  2944  ??  R    сб07   141:43,45 /usr/sbin/httpd (perl5.8.8)
root       43918  0,0  0,1  5892  2836  ??  I    сб07     2:51,64 /usr/sbin/httpd (perl5.8.8)
root       43933  0,0  0,1  5888  2832  ??  I    сб07     2:53,43 /usr/sbin/httpd (perl5.8.8)
root       43954  0,0  0,1  5892  2836  ??  S    сб07     2:53,12 /usr/sbin/httpd (perl5.8.8)
root       75079  0,0  0,1  5892  1776  ??  I    сб15     0:00,00 /usr/sbin/httpd (perl5.8.8)
Самое интересное, какой-то перловый процесс, по показанием сокетстат, биндится на непривилегированном порту
Последний раз редактировалось f_andrey 2010-12-01 3:34:08, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

User22
проходил мимо

Re: Странные процессы perl

Непрочитанное сообщение User22 » 2010-12-01 1:22:08

Хм, сокетстат показывал куда идет коннект

Код: Выделить всё

root     perl5.8.8  75079 0  tcp4   89.208.43.54:*        147.8.33.133:45295
root     perl5.8.8  75079 1  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 2  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 5  tcp4   12.12.12.54:*        147.8.33.133:45295
root     perl5.8.8  75079 6  tcp4   12.12.12.54:*        66.128.53.220:6667
После того как закрыл фаерволом эти процессы, они все стали поедать процессор.

Код: Выделить всё

43911 root             1 105    0  5900K  2944K CPU0   0 170:22 43.16% perl5.8.8
43933 root             1 100    0  5888K  2832K RUN    1   3:28 19.68% perl5.8.8
43954 root             1 100    0  5892K  2836K RUN    0   3:07 19.38% perl5.8.8
43918 root             1 100    0  5892K  2836K RUN    1   3:03 19.19% perl5.8.8
В итоге, пришлось дать им жесткий kill

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение manefesto » 2010-12-01 9:43:20

cat /usr/sbin/httpd
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Странные процессы perl

Непрочитанное сообщение thefree » 2010-12-01 13:17:22

Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

User22
проходил мимо

Re: Странные процессы perl

Непрочитанное сообщение User22 » 2010-12-01 18:35:53

manefesto писал(а):cat /usr/sbin/httpd
А нет такого, мало того, там нечего, и небыло, хешь за все времена один.

П.С., А с какого перепугу, тему перенесли?))

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение manefesto » 2010-12-02 10:05:07

ну типа тема обсуждалась
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение gonzo111 » 2010-12-02 10:21:35

Код: Выделить всё

root       43911 69,9  0,1  5900  2944  ??  R    сб07   141:43,45 /usr/sbin/httpd (perl5.8.8)
root       43918  0,0  0,1  5892  2836  ??  I    сб07     2:51,64 /usr/sbin/httpd (perl5.8.8)
root       43933  0,0  0,1  5888  2832  ??  I    сб07     2:53,43 /usr/sbin/httpd (perl5.8.8)
root       43954  0,0  0,1  5892  2836  ??  S    сб07     2:53,12 /usr/sbin/httpd (perl5.8.8)
мне вот всегда было интересно почему программы на перле (питоне) отображаютя в процессах ,так что это пашет перл, а не просто взять и установить свое имя процесса ?
пока полный путь не глянешь хрен же их друг от друга в списке отличишь
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

User22
проходил мимо

Re: Странные процессы perl

Непрочитанное сообщение User22 » 2010-12-02 18:29:56

manefesto писал(а):ну типа тема обсуждалась
Какая? Каким оброзом умудрились поднять привелегии?
Та тема относится к этой также, как температура на марсе к удою коров в деревне васильки.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение manefesto » 2010-12-03 8:26:15

ты же про uname -a ничо не сказал.
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Странные процессы perl

Непрочитанное сообщение thefree » 2010-12-03 10:16:43

User22 писал(а):
manefesto писал(а):ну типа тема обсуждалась
Какая? Каким оброзом умудрились поднять привелегии?
Та тема относится к этой также, как температура на марсе к удою коров в деревне васильки.
уверены?
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение savio » 2010-12-06 10:35:09

подскажите как вычеслить через чей аккаунт заливают эти файлы?
в логах ftp-ничего подозрительного
сейчас запущены эти скрипты

Код: Выделить всё

[root@~]# ps ax|grep perl
14923  ??  S      0:03.91 /usr/sbin/httpd (perl5.8.9)
14970  ??  S      0:11.68 /usr/sbin/httpd (perl5.8.9)
15277  ??  S      0:12.92 /usr/sbin/httpd (perl5.8.9)
15365  ??  S      0:14.62 /usr/sbin/httpd (perl5.8.9)
15368  ??  S      0:13.23 /usr/sbin/httpd (perl5.8.9)
15405  ??  S      0:15.02 /usr/sbin/httpd (perl5.8.9)
15441  ??  S      0:13.26 /usr/sbin/httpd (perl5.8.9)
15457  ??  S      0:14.83 /usr/sbin/httpd (perl5.8.9)
15500  ??  S      0:14.55 /usr/sbin/httpd (perl5.8.9)
15596  ??  S      0:14.45 /usr/sbin/httpd (perl5.8.9)
15613  ??  S      0:13.46 /usr/sbin/httpd (perl5.8.9)
15636  ??  S      0:12.90 /usr/sbin/httpd (perl5.8.9)
23817  ??  R     25:38.72 /usr/sbin/httpd (perl5.8.9)
31027  ??  S      0:11.70 /usr/sbin/httpd (perl5.8.9)
31044  ??  S      0:12.06 /usr/sbin/httpd (perl5.8.9)
31057  ??  S      0:11.84 /usr/sbin/httpd (perl5.8.9)
31073  ??  S      0:10.55 /usr/sbin/httpd (perl5.8.9)
31086  ??  S      0:11.99 /usr/sbin/httpd (perl5.8.9)
исход трафика 35Мбит/с
убить процесс я то убью, но как узнать где находиться сам скрипт?
Помни о смерти, все суета сует....

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35182
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение Alex Keda » 2010-12-06 11:01:15

Код: Выделить всё

ps -auxww
Убей их всех! Бог потом рассортирует...

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение savio » 2010-12-06 11:13:16

жаль я их уже грохнул.....
скрипты запускались от пользователя apache.
ломились на 88.191.70.92 на порт 137....
маскируются под апач. только процессы апача выглядят как

Код: Выделить всё

[root@ /var/log/httpd]# ps ax|grep http
20238  ??  S      0:58.32 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
20240  ??  S      0:58.62 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
22977  ??  S      1:04.10 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23017  ??  S      1:00.29 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23648  ??  S      0:47.94 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
23649  ??  S      0:50.39 /usr/sbin/httpd -DHAVE_PHP5 -DHAVE_SUPHP -DHAVE_MMAP_STATIC -DHAVE_VHOST_ALIAS -DHAVE_ENV -DHAVE_DEFINE -DHAVE_LOG_CONFIG -DHAVE_LOG_AGENT -DHAVE_LOG_REFERER -DHAVE_MIME_MAGIC -DHAV
...
а скрипта как

Код: Выделить всё

...
14923  ??  S      0:03.91 /usr/sbin/httpd (perl5.8.9)
14970  ??  S      0:11.68 /usr/sbin/httpd (perl5.8.9)
15277  ??  S      0:12.92 /usr/sbin/httpd (perl5.8.9)
15365  ??  S      0:14.62 /usr/sbin/httpd (perl5.8.9)
15368  ??  S      0:13.23 /usr/sbin/httpd (perl5.8.9)
15405  ??  S      0:15.02 /usr/sbin/httpd (perl5.8.9)
...
подскажите как выловить через кого засылают?
пересмотрел лог proftpd на наличие *.pl - не обнаружено...
может заливают php скрипт, который создает уже этот perl-скрипт.
а запускают как? через php - exec("script.pl") или через веб-браузер http://site.my/.../script.pl
как-то можно логировать exec у php?
в общем миллион вопросов..........
Помни о смерти, все суета сует....

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение savio » 2010-12-06 11:36:15

Появился новый процесc, косит под cron
last pid: 36023; load averages: 1.96, 1.77, 1.47 up 17+02:21:18 10:34:58
128 processes: 5 running, 123 sleeping
CPU states: 31.8% user, 0.0% nice, 28.5% system, 0.6% interrupt, 39.2% idle
Mem: 1029M Active, 2030M Inact, 278M Wired, 128M Cache, 112M Buf, 50M Free
Swap: 8192M Total, 544K Used, 8191M Free

PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
33692 apache 1 115 0 4096K 3492K CPU2 0 17:02 99.85% perl5.8.9
35452 apache 1 20 0 78564K 30860K lockf 0 0:10 12.94% httpd
25125 apache 1 4 0 78004K 35816K sbwait 3 1:07 10.55% httpd
32592 apache 1 20 0 86712K 43320K lockf 0 0:17 8.89% httpd
1026 mysql 26 20 0 348M 167M kserel 0 70.2H 6.30% mysqld
...

Код: Выделить всё

[root@ /var/cron/tabs]# ps -auxww|grep perl
apache 33692 99.7  0.1  4096  3492  ??  R    10:17AM  17:49.01 crond (perl5.8.9)
root   36102  0.0  0.0  1600   920  p3  S+   10:35AM   0:00.00 grep perl
[root@ /var/cron/tabs]#
как быть?
Помни о смерти, все суета сует....

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: Странные процессы perl

Непрочитанное сообщение savio » 2010-12-06 11:43:23

как можно логировать все операции с файловой системой? какая папка/файл созданы, удалены и так далее.....???
Помни о смерти, все суета сует....

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Странные процессы perl

Непрочитанное сообщение thefree » 2010-12-06 21:02:33

RSS: Новости для http://www.opennet.ru/opennews/opennews_sec.rss

Код: Выделить всё

OpenNews.opennet.ru: Проблемы безопасности
• Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Mortalis
проходил мимо

Re: Странные процессы perl

Непрочитанное сообщение Mortalis » 2010-12-15 23:55:27

Это действительно связанно с взломом сервера ProFTPD, решается просто - сносится ProFTPD, включается родной FTPD, и левые процессы исчезают. Говорят, в версиях ProFTPD выпущенных после взлома наблюдаются залипания и проблемы с кодировкой.

saraceen
рядовой
Сообщения: 16
Зарегистрирован: 2009-11-24 23:08:03

Re: Странные процессы perl

Непрочитанное сообщение saraceen » 2010-12-16 3:29:25

судя по всему proftpd-mysql-1.3.2a тоже подвержен этой бяке :(
в /etc появились файлы типа aawncnzmesendqq на них даже drweb ругается freebsd.backdoor.irc.1
как эту бяку удалять?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Странные процессы perl

Непрочитанное сообщение FreeBSP » 2010-12-16 3:58:03

обновить больные пакеты на чистые версии
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!