Führen Sie pstree -p | less
das Programm aus, um eine vollständige Liste der auf Ihrem System ausgeführten Prozesse zu erhalten. Suchen Sie dann nach 26098
dem Namen des übergeordneten Elements, dann nach den Großeltern usw. Irgendwo in diesem Baum sehen Sie die Antwort.
Linux Reverse Engineer, um die Prozessquelle zu finden
482
crb
Eine kompromittierte Wordpress-Site hat mehrere Prozesse gestartet, die als Apache-Benutzer ausgeführt werden. Ich kann diese Prozesse finden, indem Sie ps ausführen und für den Apache-Benutzer greping. Dann nehme ich eine der Prozess-IDs und führe lsof dagegen aus, um zu sehen, dass eine Reihe von TCP-Sockets geöffnet wurde, um E-Mails an verschiedene Empfänger zu senden. Ich sehe jedoch nicht die eigentliche Datei, die die Wurzel all dessen ist. Wie kann ich weiter aufreißen, um herauszufinden, wie alles begonnen wird? Hier ist ein Beispiel für einen der Prozesse:
~# lsof | grep 26098 /sbin/ude 26098 www-data cwd DIR 252,0 4096 2 / /sbin/ude 26098 www-data rtd DIR 252,0 4096 2 / /sbin/ude 26098 www-data txt REG 252,0 10376 150473 /usr/bin/perl /sbin/ude 26098 www-data mem REG 252,0 22880 143572 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so /sbin/ude 26098 www-data mem REG 252,0 35176 143571 /usr/lib/perl/5.14.2/auto/Socket/Socket.so /sbin/ude 26098 www-data mem REG 252,0 18632 143564 /usr/lib/perl/5.14.2/auto/IO/IO.so /sbin/ude 26098 www-data mem REG 252,0 105720 143562 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so /sbin/ude 26098 www-data mem REG 252,0 18600 143570 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so /sbin/ude 26098 www-data mem REG 252,0 2919792 137135 /usr/lib/locale/locale-archive /sbin/ude 26098 www-data mem REG 252,0 43288 1329383 /lib/x86_64-linux-gnu/libcrypt-2.15.so /sbin/ude 26098 www-data mem REG 252,0 135366 1329380 /lib/x86_64-linux-gnu/libpthread-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1030512 1329394 /lib/x86_64-linux-gnu/libm-2.15.so /sbin/ude 26098 www-data mem REG 252,0 14768 1329387 /lib/x86_64-linux-gnu/libdl-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1815224 1329389 /lib/x86_64-linux-gnu/libc-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1558296 143547 /usr/lib/libperl.so.5.14.2 /sbin/ude 26098 www-data mem REG 252,0 149280 1329381 /lib/x86_64-linux-gnu/ld-2.15.so /sbin/ude 26098 www-data 0r CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 1w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 2w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 3u IPv4 51672921 0t0 TCP 172.24.14.51:51017->10.81.54.194:smtp (SYN_SENT) /sbin/ude 26098 www-data 4w FIFO 0,8 0t0 33237048 pipe /sbin/ude 26098 www-data 5r FIFO 0,8 0t0 33237049 pipe /sbin/ude 26098 www-data 6w FIFO 0,8 0t0 33237073 pipe /sbin/ude 26098 www-data 7r FIFO 0,8 0t0 33237074 pipe
kannst du das Ergebnis von `ps -ef | grep 26098`?
vor 9 Jahren
0
# ps -ef | grep 26098 root 6414 2349 0 11:39 pts / 1 00:00:00 grep --color = auto 26098 www-data 26098 1 5 Aug15? 05:42:49 / sbin / udevd
crb vor 9 Jahren
0
2 Antworten auf die Frage
1
John Zwinck
Sie sind verwaiste Prozesse, daher fallen sie einfach unter init. Ich bin mir sicher, dass sie absichtlich verwaist sind, um die Suche nach der Quelle zu erschweren. init (1) - + - / sbin / udevd (26098)
crb vor 9 Jahren
0
0
Eduard Pertíñez
Ich habe keinen Weg gefunden, die Quelle zu finden, aber in meinem Fall wurde der Bot von clamav entdeckt und befand sich im Verzeichnis / var / tmp.
Können Sie Ihre Antwort bearbeiten und OP weitere Informationen geben?
Sam vor 6 Jahren
1
Verwandte Probleme
-
9
Was ist der Unterschied zwischen den Befehlen "su -s" und "sudo -s"?
-
4
Gutes freies Ubuntu Server-VMWare-Image benötigt
-
4
Was sind die Unterschiede zwischen den großen Linux-Distributionen? Werde ich es merken
-
2
Begrenzung der CPU-Auslastung für Flash in Firefox?
-
2
Wie kann ich mein Mikrofon unter Debian GNOME zum Laufen bringen?
-
2
Conky-Setups - Beispiele / Ideen?
-
3
Was sind die Unterschiede zwischen Linux Window Managern?
-
2
ThunderBird / Lichtsynchronisation mit SE k770i
-
4
Linux-Dateisystem
-
6
Vollbild-Flash langsam in KDE 4