Обратный инженер Linux, чтобы найти источник процесса

Question

Обратный инженер Linux, чтобы найти источник процесса

432

crb 2014-08-20 в 03:38

Скомпрометированный сайт WordPress запустил несколько процессов, которые запускаются как пользователь apache. Я могу найти эти процессы, запустив ps и greping для пользователя apache. Затем я беру один из идентификаторов процесса и запускаю для него команду lsof, чтобы убедиться, что он открыл кучу сокетов tcp для отправки почты различным получателям, но я не вижу фактического файла, который является корнем всего этого. Как я могу продолжить, чтобы узнать, как все это началось? Вот пример одного из процессов:

~# lsof | grep 26098 /sbin/ude 26098 www-data cwd DIR 252,0 4096 2 / /sbin/ude 26098 www-data rtd DIR 252,0 4096 2 / /sbin/ude 26098 www-data txt REG 252,0 10376 150473 /usr/bin/perl /sbin/ude 26098 www-data mem REG 252,0 22880 143572 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so /sbin/ude 26098 www-data mem REG 252,0 35176 143571 /usr/lib/perl/5.14.2/auto/Socket/Socket.so /sbin/ude 26098 www-data mem REG 252,0 18632 143564 /usr/lib/perl/5.14.2/auto/IO/IO.so /sbin/ude 26098 www-data mem REG 252,0 105720 143562 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so /sbin/ude 26098 www-data mem REG 252,0 18600 143570 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so /sbin/ude 26098 www-data mem REG 252,0 2919792 137135 /usr/lib/locale/locale-archive /sbin/ude 26098 www-data mem REG 252,0 43288 1329383 /lib/x86_64-linux-gnu/libcrypt-2.15.so /sbin/ude 26098 www-data mem REG 252,0 135366 1329380 /lib/x86_64-linux-gnu/libpthread-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1030512 1329394 /lib/x86_64-linux-gnu/libm-2.15.so /sbin/ude 26098 www-data mem REG 252,0 14768 1329387 /lib/x86_64-linux-gnu/libdl-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1815224 1329389 /lib/x86_64-linux-gnu/libc-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1558296 143547 /usr/lib/libperl.so.5.14.2 /sbin/ude 26098 www-data mem REG 252,0 149280 1329381 /lib/x86_64-linux-gnu/ld-2.15.so /sbin/ude 26098 www-data 0r CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 1w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 2w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 3u IPv4 51672921 0t0 TCP 172.24.14.51:51017->10.81.54.194:smtp (SYN_SENT) /sbin/ude 26098 www-data 4w FIFO 0,8 0t0 33237048 pipe /sbin/ude 26098 www-data 5r FIFO 0,8 0t0 33237049 pipe /sbin/ude 26098 www-data 6w FIFO 0,8 0t0 33237073 pipe /sbin/ude 26098 www-data 7r FIFO 0,8 0t0 33237074 pipe

1

Вы можете опубликовать результат `ps -ef | grep 26098`? 9 лет назад 0

# ps -ef | grep 26098 root 6414 2349 0 11:39 pts / 1 00:00:00 grep --color = auto 26098 www-data 26098 1 5 Aug15? 05:42:49 / sbin / udevd crb 9 лет назад 0

2 ответа на вопрос

1

0

Eduard Pertíñez 2017-05-09 в 08:34

Мне не удалось найти способ обнаружить источник, но в моем случае бот был обнаружен clamav и находился в каталоге / var / tmp.

Вы можете отредактировать свой ответ и дать ОП дополнительную информацию? Sam 6 лет назад 1

Accepted Answer · 2014-08-20 03:51:09

John Zwinck 2014-08-20 в 03:51

Run pstree -p | less to get a full list of processes running on your system, then search for 26098 and see who its parent is, then the grandparent etc. Somewhere in that tree is your answer.

Это осиротевшие процессы, поэтому они просто попадают под init. Я уверен, что они осиротели специально, чтобы затруднить поиск источника. INIT (1) - + - / SBIN / udevd (26098) crb 9 лет назад 0

Обратный инженер Linux, чтобы найти источник процесса

2 ответа на вопрос

Похожие вопросы