forum.opennet.ru

Составление сообщения

Исходное сообщение

"рассыльщик спама на сервере"
Отправлено Aleks305, 01-Апр-15 23:22

Друзья, прошу помочь. Не могу найти зловреда, но он есть.
httpd.pl  32700       admin    3u  IPv4 35294176      0t0  TCP *:39331 (LISTEN)
httpd.pl  32700       admin    4u  IPv4 29360159      0t0  TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT)
httpd.pl  32700       admin    5u  IPv4 29360160      0t0  TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT)
httpd.pl  32700       admin    6u  IPv4 31043999      0t0  TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT)
httpd.pl  32700       admin    7u  IPv4 31044000      0t0  TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT)
httpd.pl  32700       admin    8u  IPv4 32973353      0t0  TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT)
httpd.pl  32700       admin    9u  IPv4 32973354      0t0  TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT)
процесс, который рассылает спам с сервера, напрямую подключаясь к серверам.
В процессах он виден следующим образом:
root@myeverest:/var/www/myeverest.ru# ps aux | grep admin
admin      923  0.2  0.2  47928 14684 ?        Ss   15:58   0:00 mail
admin     5247  4.0  0.1  33124  7596 ?        Ss   Mar31  77:14 mail
admin     5248  3.5  0.1  34392  8924 ?        Ss   Mar31  66:53 mail
Проверка используемых файлов процессом особо ничего не дает:
httpd.pl 5247 admin  cwd    DIR    254,1     4096        2 /
httpd.pl 5247 admin  rtd    DIR    254,1     4096        2 /
httpd.pl 5247 admin  txt    REG    254,1     7360  1312466 /usr/bin/perl
httpd.pl 5247 admin  mem    REG    254,1    21256  1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so
httpd.pl 5247 admin  mem    REG    254,1   120600  1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so
httpd.pl 5247 admin  mem    REG    254,1    18120  1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so
httpd.pl 5247 admin  mem    REG    254,1    25976  1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so
httpd.pl 5247 admin  mem    REG    254,1    19920  1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so
httpd.pl 5247 admin  mem    REG    254,1    35104   131103 /lib/libcrypt-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1  1437064   131097 /lib/libc-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1   131258   131088 /lib/libpthread-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1   530736   131110 /lib/libm-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1    14696   131109 /lib/libdl-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1  1495784  1316155 /usr/lib/libperl.so.5.10.1
httpd.pl 5247 admin  mem    REG    254,1   128744   131091 /lib/ld-2.11.3.so
httpd.pl 5247 admin    0r   CHR      1,3      0t0      560 /dev/null
httpd.pl 5247 admin    1w   CHR      1,3      0t0      560 /dev/null
httpd.pl 5247 admin    2w   CHR      1,3      0t0      560 /dev/null
Искал и find и т.п. не удалось мне понять, как эта дрянь работает.
Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
Вообщем не знаю, куда дальше копать.

Исходное сообщение
"рассыльщик спама на сервере" Отправлено Aleks305, 01-Апр-15 23:22
Друзья, прошу помочь. Не могу найти зловреда, но он есть. httpd.pl 32700 admin 3u IPv4 35294176 0t0 TCP *:39331 (LISTEN) httpd.pl 32700 admin 4u IPv4 29360159 0t0 TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT) httpd.pl 32700 admin 5u IPv4 29360160 0t0 TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT) httpd.pl 32700 admin 6u IPv4 31043999 0t0 TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT) httpd.pl 32700 admin 7u IPv4 31044000 0t0 TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT) httpd.pl 32700 admin 8u IPv4 32973353 0t0 TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT) httpd.pl 32700 admin 9u IPv4 32973354 0t0 TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT) процесс, который рассылает спам с сервера, напрямую подключаясь к серверам. В процессах он виден следующим образом: root@myeverest:/var/www/myeverest.ru# ps aux \| grep admin admin 923 0.2 0.2 47928 14684 ? Ss 15:58 0:00 mail admin 5247 4.0 0.1 33124 7596 ? Ss Mar31 77:14 mail admin 5248 3.5 0.1 34392 8924 ? Ss Mar31 66:53 mail Проверка используемых файлов процессом особо ничего не дает: httpd.pl 5247 admin cwd DIR 254,1 4096 2 / httpd.pl 5247 admin rtd DIR 254,1 4096 2 / httpd.pl 5247 admin txt REG 254,1 7360 1312466 /usr/bin/perl httpd.pl 5247 admin mem REG 254,1 21256 1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so httpd.pl 5247 admin mem REG 254,1 120600 1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so httpd.pl 5247 admin mem REG 254,1 18120 1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so httpd.pl 5247 admin mem REG 254,1 25976 1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so httpd.pl 5247 admin mem REG 254,1 19920 1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so httpd.pl 5247 admin mem REG 254,1 35104 131103 /lib/libcrypt-2.11.3.so httpd.pl 5247 admin mem REG 254,1 1437064 131097 /lib/libc-2.11.3.so httpd.pl 5247 admin mem REG 254,1 131258 131088 /lib/libpthread-2.11.3.so httpd.pl 5247 admin mem REG 254,1 530736 131110 /lib/libm-2.11.3.so httpd.pl 5247 admin mem REG 254,1 14696 131109 /lib/libdl-2.11.3.so httpd.pl 5247 admin mem REG 254,1 1495784 1316155 /usr/lib/libperl.so.5.10.1 httpd.pl 5247 admin mem REG 254,1 128744 131091 /lib/ld-2.11.3.so httpd.pl 5247 admin 0r CHR 1,3 0t0 560 /dev/null httpd.pl 5247 admin 1w CHR 1,3 0t0 560 /dev/null httpd.pl 5247 admin 2w CHR 1,3 0t0 560 /dev/null Искал и find и т.п. не удалось мне понять, как эта дрянь работает. Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает. Вообщем не знаю, куда дальше копать.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Друзья, прошу помочь. Не могу найти зловреда, но он есть. > httpd.pl 32700 admin > 3u IPv4 35294176 0t0 > TCP *:39331 (LISTEN) > httpd.pl 32700 admin > 4u IPv4 29360159 0t0 > TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT) > httpd.pl 32700 admin > 5u IPv4 29360160 0t0 > TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT) > httpd.pl 32700 admin > 6u IPv4 31043999 0t0 > TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT) > httpd.pl 32700 admin > 7u IPv4 31044000 0t0 > TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT) > httpd.pl 32700 admin > 8u IPv4 32973353 0t0 > TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT) > httpd.pl 32700 admin > 9u IPv4 32973354 0t0 > TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT) > процесс, который рассылает спам с сервера, напрямую подключаясь к серверам. > В процессах он виден следующим образом: > root@myeverest:/var/www/myeverest.ru# ps aux \| grep admin > admin 923 0.2 0.2 > 47928 14684 ? Ss > 15:58 0:00 mail > admin 5247 4.0 0.1 33124 > 7596 ? Ss > Mar31 77:14 mail > admin 5248 3.5 0.1 34392 > 8924 ? Ss > Mar31 66:53 mail > Проверка используемых файлов процессом особо ничего не дает: > httpd.pl 5247 admin cwd DIR > 254,1 4096 > 2 / > httpd.pl 5247 admin rtd DIR > 254,1 4096 > 2 / > httpd.pl 5247 admin txt REG > 254,1 7360 1312466 /usr/bin/perl > httpd.pl 5247 admin mem REG > 254,1 21256 1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so > httpd.pl 5247 admin mem REG > 254,1 120600 1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so > httpd.pl 5247 admin mem REG > 254,1 18120 1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so > httpd.pl 5247 admin mem REG > 254,1 25976 1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so > httpd.pl 5247 admin mem REG > 254,1 19920 1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so > httpd.pl 5247 admin mem REG > 254,1 35104 131103 /lib/libcrypt-2.11.3.so > httpd.pl 5247 admin mem REG > 254,1 1437064 131097 /lib/libc-2.11.3.so > httpd.pl 5247 admin mem REG > 254,1 131258 131088 /lib/libpthread-2.11.3.so > httpd.pl 5247 admin mem REG > 254,1 530736 131110 /lib/libm-2.11.3.so > httpd.pl 5247 admin mem REG > 254,1 14696 131109 /lib/libdl-2.11.3.so > httpd.pl 5247 admin mem REG > 254,1 1495784 1316155 /usr/lib/libperl.so.5.10.1 > httpd.pl 5247 admin mem REG > 254,1 128744 131091 /lib/ld-2.11.3.so > httpd.pl 5247 admin 0r CHR > 1,3 0t0 > 560 /dev/null > httpd.pl 5247 admin 1w CHR > 1,3 0t0 > 560 /dev/null > httpd.pl 5247 admin 2w CHR > 1,3 0t0 > 560 /dev/null > Искал и find и т.п. не удалось мне понять, как эта дрянь > работает. > Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает. > Вообщем не знаю, куда дальше копать.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру