https://www.opennet.ru/openforum/vsluhforumID1/90700.html Добрый день уважаемые гуру.<br>Поломали сервер, запускают периодически dos, нашел папки со вредоносными скриптами - удалил.<br>Также запустили irc - вот процессы, которые вызывают вопросы.<br><br>netstat -a &#124; grep ircd<br>tcp4 115 0 host.ru.17237 elbi-design.ru.ircd CLOSED<br>tcp4 115 0 host.ru.57847 68.171.207.69.cu.ircd CLOSED<br>tcp4 0 0 host.ru.28078 68.171.207.69.cu.ircd ESTABLISHED<br>tcp4 0 0 host.ru.51057 elbi-design.ru.ircd ESTABLISHED<br><br><br> /usr/local/sbin/lsof &#124; grep 28078<br>perl5.10. 74202 www 76u IPv4 0xce614768 0t0 TCP host.ru:28078-&gt;68.171.207.69.cust.static.cmh.datacenter101.com:ircd (ESTABLISHED)<br><br>top<br>86075 www 1 118 0 5836K 3808K CPU1 1 62.2H 100.00% perl5.10.1<br>45696 www 1 118 0 5836K 3812K RUN 0 245:29 100.00% perl5.10.1<br><br> ps -aux &#124; grep perl5.10.<br>www 45696 100.0 0.1 5836 3812 ?? R 5:35AM 245:50.34 /usr/sbin/apache/loggs (perl5.10.1)<br>www https://www.opennet.ru/openforum/vsluhforumID1/90700.html#12 Wed, 12 Jan 2011 06:30:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; *perl5.8.8 <br>&gt;&gt; вы не поняли. я полагаю, что перл у вас настоящий <br>&gt;&gt;&gt;/usr/local/httpd (perl5.10.1) <br>&gt;&gt; а вот это значит, что был запущен перловый скрипт /usr/local/httpd, после чего <br>&gt;&gt; скрипт был удален. поэтому я и предложил поставить вместо перла заглушку, <br>&gt;&gt; которая допустим скопирует перед запуском скрипт в безопасное место <br>&gt; Не совсем конечно понял зачем.<br>&gt; После удаления /usr/local/httpd.core получилось убить с помощью kill все гадские процессы. <br>&gt; Оказалось что они постоянно pid меняли (смотрел top'ом). Буду искать на <br>&gt; сервере где еще проявится.<br><br>Утром опять был запущен www 27391 0.0 0.1 6992 4484 ?? S 10:21PM 0:04.00 /usr/sbin/httpd (perl5.10.1) и висело соединение с ircd.<br><br>Хотя httpd из /usr/sbin/ удалил. Откуда запускается гадость никак не найду....<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#11 Tue, 11 Jan 2011 13:24:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt; в /usr/local/bin/ есть <br>&gt;&gt; *perl <br>&gt;&gt; @perl5 -&gt; /usr/local/bin/perl5.10.1 <br>&gt;&gt; *perl5.10.1 <br>&gt;&gt; *perl5.8.8 <br>&gt; вы не поняли. я полагаю, что перл у вас настоящий <br>&gt;&gt;/usr/local/httpd (perl5.10.1) <br>&gt; а вот это значит, что был запущен перловый скрипт /usr/local/httpd, после чего <br>&gt; скрипт был удален. поэтому я и предложил поставить вместо перла заглушку, <br>&gt; которая допустим скопирует перед запуском скрипт в безопасное место <br><br>Не совсем конечно понял зачем. <br><br>После удаления /usr/local/httpd.core получилось убить с помощью kill все гадские процессы. Оказалось что они постоянно pid меняли (смотрел top'ом). Буду искать на сервере где еще проявится.<br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#10 Tue, 11 Jan 2011 11:59:40 GMT &gt; Вредоносные процессы содержат можно найти по (perl5.10.1). Нужно найти и убить <br>&gt; гадину. kill и killall не помогают - процессы остаются.<br><br>killall -9 perl<br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#9 Tue, 11 Jan 2011 10:38:24 GMT <br>&gt; Как бы понять какой перл "правильный"...<br>&gt; в /usr/local/bin/ есть <br>&gt; *perl <br>&gt; @perl5 -&gt; /usr/local/bin/perl5.10.1 <br>&gt; *perl5.10.1 <br>&gt; *perl5.8.8 <br><br>вы не поняли. я полагаю, что перл у вас настоящий<br>&gt;/usr/local/httpd (perl5.10.1)<br><br>а вот это значит, что был запущен перловый скрипт /usr/local/httpd, после чего скрипт был удален. поэтому я и предложил поставить вместо перла заглушку, которая допустим скопирует перед запуском скрипт в безопасное место<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#8 Tue, 11 Jan 2011 10:34:05 GMT &gt; Как ни крути, а сервер придется переставлять.<br><br>Очень не хотелось бы. Нашел откуда ломился crond - из /tmp/../crond - убил папку.<br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#7 Tue, 11 Jan 2011 10:21:41 GMT Как ни крути, а сервер придется переставлять.<br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#6 Tue, 11 Jan 2011 10:04:14 GMT &gt;&gt; Не знаю откуда взялось - в /usr/local/ уменя httpd нет. И пофиксить <br>&gt;&gt; гадость не получается никак.<br>&gt; значит был удален после запуска. замените бинарик перла заглушкой, которая будет логировать <br>&gt; все запуски и передавать управление настоящему перлу <br><br>Правильный httpd не удален - он находится /usr/local/sbin/httpd - как только его стопил - останавливался рабочий web сервак - но процесс /usr/local/httpd (perl5.10.1) оставался.<br><br>Как бы понять какой перл "правильный"...<br>в /usr/local/bin/ есть <br>*perl<br>@perl5 -&gt; /usr/local/bin/perl5.10.1<br>*perl5.10.1<br>*perl5.8.8<br><br>perl -v<br><br>This is perl, v5.10.1 (*) built for i386-freebsd-64int<br><br>Copyright 1987-2009, Larry Wall<br><br>Perl may be copied only under the terms of either the Artistic License or the<br>GNU General Public License, which may be found in the Perl 5 source kit.<br><br>Complete documentation for Perl, including FAQ lists, should be found on<br>this system using "man perl" or "perldoc perl". If you have access to the<br>Internet, point your browser at htt https://www.opennet.ru/openforum/vsluhforumID1/90700.html#5 Tue, 11 Jan 2011 09:49:31 GMT &gt; удалить нафик в однопользовательском режиме.<br>&gt; возможно подменили системные файлы, <br>&gt; и есть руткит.<br><br>По поиску руткита посоветуешь что?<br><br>&gt; сравни время создания, изменения файлов в <br>&gt; в /(s)bin/ /usr/(s)bin <br><br>Переместил (на всякий случай, потом удалю) файлик httpd.core - который лежал в /usr/local. Это был бинарник. <br>Судя по дате создания в /(s)bin/ /usr/(s)bin файлы созданы в одно и тоже время.<br><br>Последними были созданы симлинки <br>@perl - /usr/local/bin/perl5.10.1<br>@perl5 - /usr/local/bin/perl5.10.1<br><br>они были созданы в июле этого года. А судя по статистике загрузки интерфейса - исходящий трафик в больших количествах начался с ноября. <br> https://www.opennet.ru/openforum/vsluhforumID1/90700.html#4 Tue, 11 Jan 2011 09:24:21 GMT <br>&gt; Не знаю откуда взялось - в /usr/local/ уменя httpd нет. И пофиксить <br>&gt; гадость не получается никак.<br><br>значит был удален после запуска. замените бинарик перла заглушкой, которая будет логировать все запуски и передавать управление настоящему перлу<br>