atak hakerski ? full procesow perla obciazajacych CPU

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

tierr
Użytkownik
Posty: 25
Rejestracja: 2007-03-05, 21:24

atak hakerski ? full procesow perla obciazajacych CPU

Post autor: tierr »

Witam. Od wczoraj na jednym z serwerow zauwazylem ze mam dziwne procesy.

Kod: Zaznacz cały

apache   12172  0.6  0.2   7172  4824 ?        Ss   18:07   0:51 ./ncsevhcn.pl
apache   12173  4.2  0.3   9204  6932 ?        Ss   18:07   5:16 ./ncsevhcn.pl
apache   12174  2.9  0.2   7248  5028 ?        Rs   18:07   3:37 ./ncsevhcn.pl
apache   16147  0.2  0.1   6248  3920 ?        Ss   18:54   0:11 ./a.pl
apache   16148  5.6  0.3   9184  6708 ?        Ss   18:54   4:22 ./a.pl
apache   16149  3.6  0.2   7740  5364 ?        Ss   18:54   2:49 ./a.pl
sa to jakies pliki perla ktore wysylaja spam. nie moge ich zlokalizowac nigdzie. pomozcie jak mam znalezc zrodlo tego shitu bo mam na maszynie load 15.0 i cpu 90% :/ jak to skilluje to pojawiaja sie nowe *.pl z losowymi nazwami :/
Ostatnio zmieniony 2009-05-15, 20:10 przez tierr, łącznie zmieniany 1 raz.
Awatar użytkownika
Hannibal
Moderator w st. spocz.
Posty: 1644
Rejestracja: 2004-06-08, 16:03
Lokalizacja: Łódź
Kontakt:

Re: atak hakerski ? full procesow perla obciazajacych CPU

Post autor: Hannibal »

W tej chwili możesz mieć problem. Te skrypty perla są już pewnie usunięte. Ale jeżeli chcesz mimo wszystko sprawdzić to:

Kod: Zaznacz cały

lsof -p pid_dziwnego_procesu
Sprawdź logi apacha i poszukaj dziwnych wpisów z parametrami skryptów w postaci linków. Z tego wywnioskujesz gdzie jest dziura. Sprawdź też logi ftp czy ktoś nie przesłał czegoś dziwnego. Możesz też użyć rkhunter-a.

W ostateczności zrestartuj maszynę, i sprawdzaj na żywo skąd się syf bierze.
[size=75]Hannibal@current@2.6.X[/size]
tierr
Użytkownik
Posty: 25
Rejestracja: 2007-03-05, 21:24

Re: atak hakerski ? full procesow perla obciazajacych CPU

Post autor: tierr »

z roota to zrobilem i widze wszystki sciezki do plikow loga apacza dalej. i nic wiecej :/
Awatar użytkownika
Hannibal
Moderator w st. spocz.
Posty: 1644
Rejestracja: 2004-06-08, 16:03
Lokalizacja: Łódź
Kontakt:

Re: atak hakerski ? full procesow perla obciazajacych CPU

Post autor: Hannibal »

Było prawie pewnie że nic nie zobaczysz. Takie skrypciki wiedzą jak się ukrywać. Pozostaje Ci tylko szukać innymi sposobami.
[size=75]Hannibal@current@2.6.X[/size]
Awatar użytkownika
mina86
Moderator
Posty: 3338
Rejestracja: 2004-06-14, 21:58
Lokalizacja: Linux 5.x x86_64
Kontakt:

Re: atak hakerski ? full procesow perla obciazajacych CPU

Post autor: mina86 »

Reinstalacja.
Zastrzegam sobie prawo nieanalizowania postów pisanych niepoprawną polszczyzną.
Post generated automatically by A.I. system code name ‘mina86’ in response to the previous one.
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: atak hakerski ? full procesow perla obciazajacych CPU

Post autor: miszmaniac »

Sprawdź plik /etc/inittab, może tam coś jest dopisane coś dziwnego z respawn, co uruchamia skrypty?
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
ODPOWIEDZ