Proceso sucpicioso ejecutándose en el servidor CentOS

Question

Proceso sucpicioso ejecutándose en el servidor CentOS

#1 de Mark (2 votos)
#2 de Dale (1 votos)

2

A continuación se muestra la salida del comando "top". He recortado el resultado. Aquí, quiero saber el detalle del proceso llamado httpd.pl .

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    23546 user 20   0 55596 5428  808 S  0.7  0.1   0:01.52 httpd.pl

Esto me parece sospechoso, porque cuando hago lsof -p 5182 , muestra la siguiente salida, mostrando que el proceso está abriendo el puerto 39331:

COMMAND   PID     USER   FD   TYPE    DEVICE SIZE/OFF    NODE NAME
httpd.pl 5182 user   3u  IPv4 168936033      0t0     TCP *:39331 (LISTEN)

He usado algunos comandos para averiguar desde dónde se está ejecutando, pero no pude encontrar. He usado los siguientes comandos hasta ahora:

#ls -l /proc/PID/cwd
#cat /proc/PID/environ | tr '-bash-4.1# cat testing.pl
#!/usr/bin/perl
print 'ps $$';
$0="my_name_is_httpd.pl .. honest";
print 'ps $$';
-bash-4.1#

-bash-4.1# ./testing.pl
  PID TTY      STAT   TIME COMMAND
 6762 pts/0    S+     0:00 /usr/bin/perl ./testing.pl
  PID TTY      STAT   TIME COMMAND
 6762 pts/0    S+     0:00 my_name_is_httpd.pl .. honest
-bash-4.1#
' '\n'
#ps -p PID -o command

Sin embargo, ninguno de ellos muestra la ubicación exacta. Muestra / como cwd pero no hay un archivo llamado httpd.pl allí. También un amigo mío me dijo que httpd.pl puede ser un nombre falso, porque es trivial cambiar el nombre de un proceso:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    23546 user 20   0 55596 5428  808 S  0.7  0.1   0:01.52 httpd.pl

centos perl

pregunta Err0rr 19.12.2014 - 11:48

fuente

2 respuestas

Lea otras preguntas en las etiquetas centos perl

¿Cómo almacenar contraseñas en un sitio web remoto? ¿Cómo se garantiza la seguridad de la clave privada RSA del servidor?

score 2 · Answer 1

Aspectos a tener en cuenta:

/proc/PID/exe puede ser un enlace simbólico al programa binario, o puede ser un enlace roto (por ejemplo, si se eliminó el programa binario, o si es un proceso del núcleo).

/proc/PID/cmdline debería ser la línea de comando utilizada para iniciar el programa.

/proc/PID/maps puede contener información interesante, ya que los programas y sus bibliotecas generalmente se cargan mediante la asignación de memoria de los archivos de disco involucrados.

score 1 · Answer 2

Lo siento por volver a seleccionar un hilo anterior, pero este es el primero que aparece para este archivo. y vale la pena saber si alguien lo encuentra.

El httpd.pl es un proceso falsificado que ejecuta perl.

generalmente es una puerta trasera que está configurada por un shell php que se cargará en un sitio web en algún lugar. Encontramos lo mismo. El phpshell se carga a través de un exploit por lo general. La nuestra llegó a través de una vulnerabilidad en Joomla. El atacante cargó un archivo php que descargó el shell php y luego ejecutó el shell para instalar una puerta trasera. este shell probablemente se puede conectar a través de la dirección del puerto que se encuentra en lsof -p (dirección IP: puerto) y se puede usar para volcar salidas del shell / algunas otras cosas.

Para solucionar esto, reforzamos php editando php.ini y agregando a la sección disable_functions (hay muchas guías sobre cómo hacer esto y qué deshabilitar).

A continuación, ejecutamos un escaneo clamAV y un escaneado de maldeta que reveló un par de archivos sospechosos.

Finalmente, limpiamos uno más sospechoso que encontramos en el directorio / username / tmp.

Espero que esto ayude.