Processo sospetto in esecuzione nel server CentOS

Question

Processo sospetto in esecuzione nel server CentOS

#1 da (2 voti)
#2 da (1 voti)

2

Di seguito è riportato l'output del comando "top". Ho ritagliato il risultato. Qui, voglio conoscere il dettaglio del processo chiamato httpd.pl .

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    23546 user 20   0 55596 5428  808 S  0.7  0.1   0:01.52 httpd.pl

Questo mi sembra sospetto, perché quando faccio lsof -p 5182 , mostra il seguente output, che mostra che il processo sta aprendo la porta 39331:

COMMAND   PID     USER   FD   TYPE    DEVICE SIZE/OFF    NODE NAME
httpd.pl 5182 user   3u  IPv4 168936033      0t0     TCP *:39331 (LISTEN)

Ho usato pochi comandi per scoprire da dove è in esecuzione, ma non sono riuscito a trovarlo. Ho usato i seguenti comandi finora:

#ls -l /proc/PID/cwd
#cat /proc/PID/environ | tr '-bash-4.1# cat testing.pl
#!/usr/bin/perl
print 'ps $$';
$0="my_name_is_httpd.pl .. honest";
print 'ps $$';
-bash-4.1#

-bash-4.1# ./testing.pl
  PID TTY      STAT   TIME COMMAND
 6762 pts/0    S+     0:00 /usr/bin/perl ./testing.pl
  PID TTY      STAT   TIME COMMAND
 6762 pts/0    S+     0:00 my_name_is_httpd.pl .. honest
-bash-4.1#
' '\n'
#ps -p PID -o command

Tuttavia, nessuno di questi mostra la posizione esatta. Mostra / come cwd ma non esiste un tale file chiamato httpd.pl lì. Anche un mio amico mi ha detto che httpd.pl potrebbe essere un nome falso, perché è banale cambiare il nome di un processo:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    23546 user 20   0 55596 5428  808 S  0.7  0.1   0:01.52 httpd.pl

perl centos

posta Err0rr 19.12.2014 - 11:48

fonte

2 risposte

Leggi altre domande sui tag perl centos

È possibile utilizzare una macchina virtuale al posto dell'host? Come funziona la vulnerabilità di sicurezza di sicurezza dei file di Samba configurata in modo errato '/ etc / passwd'?

score 2 · Answer 1

Cose da guardare:

/proc/PID/exe potrebbe essere un collegamento simbolico al binario del programma, oppure potrebbe essere un collegamento interrotto (ad esempio se il binario del programma è stato cancellato, o se si tratta di un processo del kernel).

/proc/PID/cmdline dovrebbe essere la riga di comando utilizzata per avviare il programma.

/proc/PID/maps può contenere informazioni interessanti, dato che i programmi e le loro librerie sono solitamente caricati dalla memoria, mappando i file del disco coinvolti.

score 1 · Answer 2

Ci scusiamo per rievocare un vecchio thread, ma questo è il primo che viene fuori per questo file. e vale la pena sapere se qualcuno lo incontra.

httpd.pl è un processo falsificato che esegue perl.

di solito è una backdoor creata da una shell php che verrà caricata in un sito Web da qualche parte. Abbiamo trovato la stessa cosa Il phpshell viene caricato in genere tramite un exploit. La nostra è arrivata tramite una vulnerabilità in Joomla. L'autore dell'attacco ha caricato un file php che ha scaricato la shell php e poi ha eseguito la shell per installare una backdoor. questa shell può probabilmente essere connessa tramite l'indirizzo della porta che si trova in lsof -p (indirizzo IP: porta) e può essere usato per scaricare gli output della shell / alcune altre cose.

Per risolvere questo problema abbiamo rafforzato il php modificando php.ini e aggiungendo alla sezione disable_functions (ci sono un sacco di guide su come farlo e cosa disabilitare).

Successivamente abbiamo eseguito una scansione clamAV e una scansione maldet che ha rivelato un paio di file sospetti.

Finalmente abbiamo ripulito un altro sospetto che abbiamo trovato nella directory / username / tmp.

Spero che questo aiuti.