hack serveru (spam zombie?)

Jindra Fucik fulda at seznam.cz
Wed May 27 10:07:21 CEST 2009

Previous message: hack serveru (spam zombie?)
Next message: Re: Re: hack serveru (spam zombie?)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

he he nekdo si pomoci tveho webu odesila spam?
podstata je celkem jednoducha - nekde mas povolenej include a "utocnikovi" 
se podari includnout neco co jsi necekal.
A proc ten soubor nemuzes najit?
Nejjednodussi je ho spustit a pak ho proste smazat - potom bude existovat, 
ale uz neexistuje jeho zaznam v adresari ve kterem se predtim nachazel. 
Najdes ho treba prolejzanim procfs od tohoto procesu. Bohuzel bez procfs to 
z ruky neumim.

----- Original Message ----- 
From: "Cizek.Milan" <cizek.milan at seznam.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Wednesday, May 27, 2009 9:55 AM
Subject: hack serveru (spam zombie?)


Ahoj,
děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém 
intervalu se mi spouští nějaké perl skripty - pod uživatelem www, které 
podle sockstat generují trafic na smtp servery. Ve vypisu procesu je videt 
vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na 
disku se nikde nenachazi.

smtp01# pstree | grep perl
 |           \--- 31238 root grep perl
 |--= 31085 www ./yxqs.pl (perl5.8.9)

www      perl5.8.8  90482 38 tcp4   89.31.40.x:54027      72.14.247.27:25
www      perl5.8.8  90482 41 tcp4   89.31.40.x:54041      195.4.92.212:25
www      perl5.8.8  90482 42 tcp4   89.31.40.x:54056      65.54.245.72:25
www      perl5.8.8  90482 43 tcp4   89.31.40.x:53324      24.71.223.11:25
www      perl5.8.8  90482 44 tcp4   89.31.40.x:53890      66.196.97.250:25
www      perl5.8.8  90482 45 tcp4   89.31.40.x:53820      66.196.97.250:25
www      perl5.8.8  90482 46 tcp4   89.31.40.x:53428      66.196.97.250:25
www      perl5.8.8  90482 48 tcp4   89.31.40.x:54029      24.71.223.11:25
...

Pokud udělám "killall -9 perl5.8.8", vše je ok asi tak na hodinu. Poté se 
proces zase objeví, a to i s vypnutym cronem. Na serveru je instalovany 
apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, 
ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem 
lsof, neuspesne.

Milan
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Previous message: hack serveru (spam zombie?)
Next message: Re: Re: hack serveru (spam zombie?)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list