Debian
奇怪的程序執行
我剛剛提到一個使用者啟動了一個名為“httpd”的程序。
31712 ftp_johndoe 20 0 35988 8828 1460 S 14.0 0.0 1h50:31 httpd 28616 ftp_johndoe 20 0 5304M 43936 35080 S 4.0 0.2 0:02.72 /usr/bin/php5-cgi -c /var/www/vhosts/system/johndoe.net/etc/php.ini 31711 ftp_johndoe 20 0 35808 8608 1460 S 1.0 0.0 1h51:15 httpd
好吧,我想知道為什麼該程序被稱為“httpd”,因為在 debian apache 上沒有啟動名為“httpd”的程序。
如果我 lsof 它,我會得到以下結果:
httpd 28868 ftp_johndoe txt REG 253,0 10456 12335127 /usr/bin/perl httpd 28868 ftp_johndoe mem REG 253,0 22952 12335108 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so httpd 28868 ftp_johndoe mem REG 253,0 109888 12335102 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so httpd 28868 ftp_johndoe mem REG 253,0 18672 12335109 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so httpd 28868 ftp_johndoe mem REG 253,0 39256 12980353 /usr/lib/perl5/auto/Socket/Socket.so httpd 31712 ftp_johndoe 63u IPv4 520937935 0t0 TCP server.name.com:38504->64.233.165.26:smtp (ESTABLISHED) httpd 31712 ftp_johndoe 67u IPv4 520937969 0t0 TCP server.name.com:38536->64.233.165.26:smtp (ESTABLISHED) httpd 31712 ftp_johndoe 73u IPv4 520937951 0t0 TCP server.name.com:38520->64.233.165.26:smtp (ESTABLISHED)
所以我猜這是惡意軟體。但是我怎樣才能找到啟動 httpd 程序的腳本呢?
您可以開始使用
ls -l /proc/<PID>/exe
然後你可以找到誰創建它(父PID)
ps -p <PID> -o ppid=
並蒐索直到找到起點。
您還可以檢查常見的自動執行點,如初始化腳本、全域和使用者特定的 cron 作業、
at
腳本、rc.local
文件**更新:**我剛剛想起了一個名為snoopy的程序
Snoopy 是一個小型庫,可記錄系統上所有已執行的命令(+ 參數)。
使用它來檢查命令執行可能非常有用
這不是一個完整的解決方案,我知道有一些簡單的方法可以規避這個問題。希望比我有更多經驗的人我們會更有幫助