у первого сайт на DLE, у второго вордпресс
оба периодически вылезают в топ с процессами perl.
занимаются таким:
Код: Выделить всё
srv5# cat ~lissyara/perl.list.sokets.txt
h8009 perl5.10.1 11278 3 tcp4 127.0.0.1:60585 127.0.0.1:25
h8009 perl5.10.1 11278 6 tcp4 195.211.101.39:60290 207.126.147.10:25
h8009 perl5.10.1 11278 7 tcp4 195.211.101.39:60574 74.125.148.10:25
h8009 perl5.10.1 11278 8 tcp4 195.211.101.39:59901 66.54.140.13:25
h8009 perl5.10.1 11278 9 tcp4 195.211.101.39:59454 69.183.28.24:25
h8009 perl5.10.1 11278 10 udp4 *:29773 *:*
h8009 perl5.10.1 11278 11 tcp4 195.211.101.39:60539 98.129.184.3:25
h8009 perl5.10.1 11278 12 tcp4 195.211.101.39:60506 204.182.4.230:25
h8009 perl5.10.1 11278 13 udp4 *:12798 *:*
h8009 perl5.10.1 11278 14 tcp4 195.211.101.39:59038 172.2.2.1:25
процессы перловые запускаются без файлов. вернее, файлы за собой сразу же удаляют.
я их поймал, и файлы скопировал (запретил удалять из cgi-bin - тока добавлять)
имена файлов явно рандомные, внутри бинарник
Код: Выделить всё
srv5# file ~lissyara/*.pl
/usr/home/lissyara/pf.pl: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), statically linked, corrupted section header size
/usr/home/lissyara/x.pl: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), statically linked, corrupted section header size
srv5#
хочется посмотреть что оно реально делает...