Linux Reverse Engineer, um die Prozessquelle zu finden

Question

Linux Reverse Engineer, um die Prozessquelle zu finden

482

crb 2014-08-20 в 03:38

Eine kompromittierte Wordpress-Site hat mehrere Prozesse gestartet, die als Apache-Benutzer ausgeführt werden. Ich kann diese Prozesse finden, indem Sie ps ausführen und für den Apache-Benutzer greping. Dann nehme ich eine der Prozess-IDs und führe lsof dagegen aus, um zu sehen, dass eine Reihe von TCP-Sockets geöffnet wurde, um E-Mails an verschiedene Empfänger zu senden. Ich sehe jedoch nicht die eigentliche Datei, die die Wurzel all dessen ist. Wie kann ich weiter aufreißen, um herauszufinden, wie alles begonnen wird? Hier ist ein Beispiel für einen der Prozesse:

~# lsof | grep 26098 /sbin/ude 26098 www-data cwd DIR 252,0 4096 2 / /sbin/ude 26098 www-data rtd DIR 252,0 4096 2 / /sbin/ude 26098 www-data txt REG 252,0 10376 150473 /usr/bin/perl /sbin/ude 26098 www-data mem REG 252,0 22880 143572 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so /sbin/ude 26098 www-data mem REG 252,0 35176 143571 /usr/lib/perl/5.14.2/auto/Socket/Socket.so /sbin/ude 26098 www-data mem REG 252,0 18632 143564 /usr/lib/perl/5.14.2/auto/IO/IO.so /sbin/ude 26098 www-data mem REG 252,0 105720 143562 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so /sbin/ude 26098 www-data mem REG 252,0 18600 143570 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so /sbin/ude 26098 www-data mem REG 252,0 2919792 137135 /usr/lib/locale/locale-archive /sbin/ude 26098 www-data mem REG 252,0 43288 1329383 /lib/x86_64-linux-gnu/libcrypt-2.15.so /sbin/ude 26098 www-data mem REG 252,0 135366 1329380 /lib/x86_64-linux-gnu/libpthread-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1030512 1329394 /lib/x86_64-linux-gnu/libm-2.15.so /sbin/ude 26098 www-data mem REG 252,0 14768 1329387 /lib/x86_64-linux-gnu/libdl-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1815224 1329389 /lib/x86_64-linux-gnu/libc-2.15.so /sbin/ude 26098 www-data mem REG 252,0 1558296 143547 /usr/lib/libperl.so.5.14.2 /sbin/ude 26098 www-data mem REG 252,0 149280 1329381 /lib/x86_64-linux-gnu/ld-2.15.so /sbin/ude 26098 www-data 0r CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 1w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 2w CHR 1,3 0t0 5014 /dev/null /sbin/ude 26098 www-data 3u IPv4 51672921 0t0 TCP 172.24.14.51:51017->10.81.54.194:smtp (SYN_SENT) /sbin/ude 26098 www-data 4w FIFO 0,8 0t0 33237048 pipe /sbin/ude 26098 www-data 5r FIFO 0,8 0t0 33237049 pipe /sbin/ude 26098 www-data 6w FIFO 0,8 0t0 33237073 pipe /sbin/ude 26098 www-data 7r FIFO 0,8 0t0 33237074 pipe

1

kannst du das Ergebnis von `ps -ef | grep 26098`? vor 9 Jahren 0

# ps -ef | grep 26098 root 6414 2349 0 11:39 pts / 1 00:00:00 grep --color = auto 26098 www-data 26098 1 5 Aug15? 05:42:49 / sbin / udevd crb vor 9 Jahren 0

2 Antworten auf die Frage

1

0

Eduard Pertíñez 2017-05-09 в 08:34

Ich habe keinen Weg gefunden, die Quelle zu finden, aber in meinem Fall wurde der Bot von clamav entdeckt und befand sich im Verzeichnis / var / tmp.

Können Sie Ihre Antwort bearbeiten und OP weitere Informationen geben? Sam vor 6 Jahren 1

Accepted Answer · 2014-08-20 03:51:09

John Zwinck 2014-08-20 в 03:51

Führen Sie pstree -p | lessdas Programm aus, um eine vollständige Liste der auf Ihrem System ausgeführten Prozesse zu erhalten. Suchen Sie dann nach 26098dem Namen des übergeordneten Elements, dann nach den Großeltern usw. Irgendwo in diesem Baum sehen Sie die Antwort.

Sie sind verwaiste Prozesse, daher fallen sie einfach unter init. Ich bin mir sicher, dass sie absichtlich verwaist sind, um die Suche nach der Quelle zu erschweren. init (1) - + - / sbin / udevd (26098) crb vor 9 Jahren 0

Linux Reverse Engineer, um die Prozessquelle zu finden

2 Antworten auf die Frage

Verwandte Probleme