Cizek.Milan wrote:
Ahoj,
děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu
se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat
generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1
podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde
nenachazi.
smtp01# pstree | grep perl
| \--- 31238 root grep perl
|--= 31085 www ./yxqs.pl (perl5.8.9)
www perl5.8.8 90482 38 tcp4 89.31.40.x:54027 72.14.247.27:25
www perl5.8.8 90482 41 tcp4 89.31.40.x:54041 195.4.92.212:25
www perl5.8.8 90482 42 tcp4 89.31.40.x:54056 65.54.245.72:25
www perl5.8.8 90482 43 tcp4 89.31.40.x:53324 24.71.223.11:25
www perl5.8.8 90482 44 tcp4 89.31.40.x:53890 66.196.97.250:25
www perl5.8.8 90482 45 tcp4 89.31.40.x:53820 66.196.97.250:25
www perl5.8.8 90482 46 tcp4 89.31.40.x:53428 66.196.97.250:25
www perl5.8.8 90482 48 tcp4 89.31.40.x:54029 24.71.223.11:25
...
Pokud udělám "killall -9 perl5.8.8", vše je ok asi tak na hodinu. Poté se
proces zase objeví, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se
zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten
zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne.
Milan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
Na PHP mas pravdepodobne povolene fopen_url. V logoch apache pozeraj
take veci ako ked niekto do parametru URL vklada
http://nieco.niekde/skript.txt . Mam podobnu skusenost - remote
includnuty php script co do temp stiahol perl skript, spustil ho a ten
sa pripojil na IRC ako bot. Pekne vzdialene ovladanie na serveri ;). V
prvom rade vypni fopen_url a povol ho naozaj len tam kde to potrebujes.
Tym ochranis aspon ciastocne derave PHP skripty.
Juro Chlebec
--
Juraj Chlebec
Centrum informacnych technologii FEM
SPU Nitra, Slovensko
Tel: +421 37 641 4813
Web: http://www.fem.uniag.sk/Juraj.Chlebec/
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
