Welches Perl Script wird ausgeführt?

Post by **pr0j3ctx** » 2006-02-16 11:02

Hallo zusammen.

Ich habe eine Frage. Ich habe zwei Prozesse die seit 2 Tagen laufen.

ps -A -F gibt folgendes aus

wwwrun 18723 1 66 1263 3476 1 Feb14 ? 1-06:36:51 apache
wwwrun 18727 1 67 1263 3476 0 Feb14 ? 1-07:01:14 apache

ein lsof | grep 18723 folgendes

perl 18723 wwwrun cwd DIR 0,12 1720 588 /tmp
perl 18723 wwwrun rtd DIR 3,1 4096 2 /
perl 18723 wwwrun txt REG 3,5 1151488 361 /usr/bin/perl
perl 18723 wwwrun mem REG 3,1 74342 27083 /lib/libresolv.so.2
perl 18723 wwwrun mem REG 3,1 17722 27076 /lib/libnss_dns.so.2
perl 18723 wwwrun mem REG 3,1 41737 27077 /lib/libnss_files.so.2
perl 18723 wwwrun mem REG 3,5 27666 16798782 /usr/lib/perl5/5.8.3/i586-linux-thread-multi/auto/Socket/Socket.so
perl 18723 wwwrun mem REG 3,5 20642 16798776 /usr/lib/perl5/5.8.3/i586-linux-thread-multi/auto/IO/IO.so
perl 18723 wwwrun mem REG 3,1 1349081 27272 /lib/tls/libc.so.6
perl 18723 wwwrun mem REG 3,1 88272 27271 /lib/tls/libpthread.so.0
perl 18723 wwwrun mem REG 3,1 10797 27086 /lib/libutil.so.1
perl 18723 wwwrun mem REG 3,1 43632 27069 /lib/libcrypt.so.1
perl 18723 wwwrun mem REG 3,1 170563 27273 /lib/tls/libm.so.6
perl 18723 wwwrun mem REG 3,1 13647 27071 /lib/libdl.so.2
perl 18723 wwwrun mem REG 3,1 88036 27074 /lib/libnsl.so.1
perl 18723 wwwrun mem REG 3,1 104484 27269 /lib/ld-2.3.3.so
...............

und noch logfiles etc.

Ich hab schon alles durchkramt aber woher weiss ich oder wie finde ich heraus was für ein perlscript dort ausgeführt wird.

Könnt ihr mir da weiterhelfen?

Grüße Pr0

Post by **captaincrunch** » 2006-02-16 11:24

Schau dir mal die passenden Files zur PID unter /proc an. Spätestens das sollte dir weitere Anhaltspunkte liefern.

Post by **pr0j3ctx** » 2006-02-16 15:08

Hi

danke

Genau da bin ich weitergekommen, aber leider ist die Tatsache dort nicht sehr schön. Es findet sich ein spanisches Script wieder was sich auf einen IRC verbindet. Zu finden ist dor outlawgroup.org.

Die Verbindung geht nach irc.fullnetwork.org

Leider weiss ich nicht wie die bei mir ins System gekommen sind. Auf der startseite bei denen steht was von phpnuke. Auf meinem Server befindet sich ein phpkit, ob evtl darüber?

Wie kann ich das herausfinden. In den Logs finde ich nichts. Weiss jemand rat?

Grüße

Pr0

Post by **captaincrunch** » 2006-02-16 15:18

Gegenfrage: was läuft denn bei dir so alles? Um jetzt die Lücke zu raten sind die Möglichkeiten wohl etwas zu...umfangreich.

Post by **pr0j3ctx** » 2006-02-16 15:25

Es ist ein 1&1 Rootie mit suse der Web(apache2) und Mailserver (postfix) ist.

Dort läuft nur ein phpkit+4images+coppermine gallery

Zudem noch ein nph-proxy der durch htaccess geschützt ist.

Post by **getphp** » 2006-02-16 21:55

phpkit: http://www.heise.de/security/news/meldung/65928

Zudem scheint die Software weder weiterentwickelt noch gefixed zu werden, die letzte Version ist vom 13.09.2004 ...

Post by **Joe User** » 2006-02-16 22:20

Pr0j3cTX wrote:Dort läuft nur ein phpkit+4images+coppermine gallery

PHP-Scripte.

Pr0j3cTX wrote:Zudem noch ein nph-proxy der durch htaccess geschützt ist.

Perl-Script.

Wonach suchtest Du noch gleich? Ach ja, ein Perl-Script...

RootForum Community

Welches Perl Script wird ausgeführt?

Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?

Re: Welches Perl Script wird ausgeführt?