有人显然闯入这个盒子(可能是通过ftp或ssh),然后放一些irc管理的rootkit.
现在我正在尝试清理整个过程,我发现过程pID试图通过irc连接,但我无法弄清楚谁是调用过程(已经看过ps,pstree,lsof)
该过程是由www用户拥有的perl脚本,但ps aux | grep在最后一列显示伪文件路径.
有没有另一种方法来追踪pID并抓住调用者?
忘了提一下:内核是2.6.23,可以利用成为root用户,但是我不能太多触摸这台机器,所以我无法升级内核
编辑:lsof可能会有所帮助:
解决方法 如果我可以给你任何建议,那就是不要浪费你的时间来清理.为取证之前制作 *** 作系统的映像,然后重新安装服务器.lsof -p 9481
COMMAND PID USER FD TYPE DEVICE SIZE NODE namess
perl 9481 www cwd DIR 8,2 608 2 /ss
perl 9481 www rtd DIR 8,2 608 2 /ss
perl 9481 www txt REG 8,2 1168928 38385 /usr/bin/perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 /lib64/libc-2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/IO/IO.soss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/Socket/Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)
对不起,但这是解决你自己rootkitted的唯一安全方法.
之后您可以检查图像,出于某些原因,为什么会发生.
根据我个人的经验,我做了这个,后来发现一个内部用户,其中包含一个包含openssl缺陷的SSH密钥.
我希望,它清除了事情.
注意:
如果要在重新安装之前对服务器进行映像/备份,请务必小心,如何执行此 *** 作.正如@dfranke所说,从可信媒体启动到备份.
您不应该从根服务器连接到其他计算机,因为已知大型rootkit能够通过SSH等可信会话进行传播.
总结以上是内存溢出为你收集整理的linux – 痛苦删除perl rootkit全部内容,希望文章能够帮你解决linux – 痛苦删除perl rootkit所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)