Jadi, kami meng-host hal server web geoservice di kantor.
Seseorang rupanya membobol kotak ini (mungkin melalui ftp atau ssh), dan menaruh semacam rootkit yang dikelola irc.
Sekarang saya mencoba untuk membersihkan semuanya, saya menemukan proses pid yang mencoba untuk terhubung melalui irc, tetapi saya tidak tahu siapa yang memohon proses (sudah terlihat dengan ps, pstree, lsof) Prosesnya adalah perl skrip yang dimiliki oleh pengguna www, tetapi ps aux | grep menampilkan path file palsu pada kolom terakhir.
Apakah ada cara lain untuk melacak pid itu dan menangkap penyerang?
Lupa menyebutkan: kernel 2.6.23, yang dapat dieksploitasi untuk menjadi root, tapi saya tidak bisa menyentuh mesin ini terlalu banyak, jadi saya tidak bisa memutakhirkan kernel
EDIT: lsof mungkin membantu:
lsof-p 9481
PERINTAH PID PENGGUNA FD TYPE PERANGKAT NAMA NODEss PER
9481 www cwd DIR 8,2 608 2 / ss
perl 9481 www rtd DIR 8,2 608 2 / ss
perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 / lib64 / libc -2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / otomatis / IO / IO.soss
perl 9481 www mem REG 8,2 21328 38877 / usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / Socket / Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)