Tausende Perl-Prozesse

[marquinhos]

Hallo Ihr,

habe abends tausende Perl-Prozesse auf dem Root-Server.

Wie kann ich herausbekommen, wer die Perl-Prozesse aufruft bzw. startet ??

Ausgabe von "top"

Code: Select all

top - 20:55:33 up 2 days, 12:37,  1 user,  load average: 83.96, 83.36, 82.01
Tasks: 347 total,  85 running, 172 sleeping,   0 stopped,  90 zombie
Cpu(s):  0.7% us, 15.1% sy, 83.9% ni,  0.0% id,  0.0% wa,  0.0% hi,  0.3% si
Mem:    248580k total,   239600k used,     8980k free,     3244k buffers
Swap:  2048276k total,   359428k used,  1688848k free,    32648k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
23903 wwwrun    39  15  6132 2460 2732 R  2.3  1.0   1:23.91 perl
23978 wwwrun    39  15  6132 1676 2732 R  2.3  0.7   1:33.58 perl
24074 wwwrun    39  15  6128 1692 2732 R  2.3  0.7   1:32.65 perl
24236 wwwrun    39  15  6132 2316 2732 R  2.3  0.9   1:22.12 perl
24257 wwwrun    31  15  6132 3012 2732 R  2.3  1.2   1:20.87 perl
24264 wwwrun    31  15  6132 2992 2732 R  2.3  1.2   1:19.16 perl
23547 wwwrun    39  15  6132 2604 2732 R  2.0  1.0   1:24.33 perl
23598 wwwrun    31  15  6132 3020 2732 R  2.0  1.2   1:23.15 perl
23796 wwwrun    39  15  6132 2236 2732 R  2.0  0.9   1:23.82 perl
23976 wwwrun    31  15  6128 2960 2732 R  2.0  1.2   1:21.47 perl
24081 wwwrun    31  15  6132 3032 2732 R  2.0  1.2   1:21.01 perl
24304 wwwrun    39  15  6132 1852 2732 R  2.0  0.7   1:25.42 perl
24324 wwwrun    39  15  6132 2212 2732 R  2.0  0.9   1:22.44 perl
24357 wwwrun    39  15  6132 2588 2732 R  2.0  1.0   1:22.88 perl
24389 wwwrun    39  15  6132 1676 2732 R  2.0  0.7   1:32.27 perl
23893 wwwrun    39  15  6128 2776 2732 R  1.6  1.1   1:22.49 perl
24013 wwwrun    39  15  6132 1692 2732 R  1.6  0.7   1:29.74 perl
24255 wwwrun    31  15  6132 3032 2732 R  1.6  1.2   1:20.83 perl
24258 wwwrun    31  15  6132 3020 2732 R  1.6  1.2   1:20.84 perl
23546 wwwrun    39  15  6132 2228 2732 R  1.3  0.9   1:38.45 perl
23672 wwwrun    39  15  6128 2180 2732 R  1.3  0.9   1:37.05 perl
23689 wwwrun    31  15  6132 3016 2732 R  1.3  1.2   1:21.39 perl
23694 wwwrun    39  15  6132 1680 2732 R  1.3  0.7   1:34.27 perl
23705 wwwrun    30  15  6132 2948 2732 S  1.3  1.2   1:23.04 perl
23719 wwwrun    39  15  6132 2604 2732 R  1.3  1.0   1:23.67 perl
23827 wwwrun    39  15  6132 2724 2732 R  1.3  1.1   1:23.27 perl
24111 wwwrun    35  15  6132 2968 2732 R  1.3  1.2   1:20.73 perl
24341 wwwrun    35  15  6132 2964 2732 R  1.3  1.2   1:20.62 perl
24350 wwwrun    35  15  6132 3008 2732 R  1.3  1.2   1:20.52 perl
24390 wwwrun    31  15  6132 3020 2732 R  1.3  1.2   1:19.82 perl
24405 wwwrun    31  15  6132 3016 2732 R  1.3  1.2   1:20.20 perl
23538 wwwrun    39  15  6132 2228 2732 R  1.0  0.9   1:38.43 perl
23549 wwwrun    39  15  6132 2228 2732 R  1.0  0.9   1:38.32 perl
23580 wwwrun    39  15  6132 1684 2732 R  1.0  0.7   1:38.17 perl
23591 wwwrun    39  15  6132 2220 2732 R  1.0  0.9   1:37.88 perl
23626 wwwrun    39  15  6132 2228 2732 R  1.0  0.9   1:37.13 perl
23681 wwwrun    39  15  6132 2716 2732 R  1.0  1.1   1:22.19 perl
23691 wwwrun    39  15  6132 2224 2732 R  1.0  0.9   1:37.11 perl

Uhi uhi uhi ..

Danke

Markus

[mattiass]

habe abends tausende Perl-Prozesse auf dem Root-Server.

Wie kann ich herausbekommen, wer die Perl-Prozesse aufruft bzw. startet??

Apache-Logfiles auswerten! Forensuche bemühen!

Läuft ein CMS oder eine Board-Software auf der Kiste? Gratulation: Sie wurden gehackt. Ernsthaft: jetzt sind die Fäkalien am Dampfen. Sinnvoll ist es, die Kiste zunächst im Rettungssystem zu starten und erstmal alles zu sichern.

Frage am Rande: was für eine Distribution? Wie aktuelle? Wenn Du regelmäßig Pateches eingespielt hast, wird der Angreifer noch keinen größeren Schaden angerichtet haben. Wenn Du eine nicht mehr supportete Distri wie Suse 9.1 oder Debian 3.0 verwendest, kannst Du damit rechnen, dass der Angreifer früher oder später einen Root-Exploit nachlädt...

[marquinhos]

Im Error Log habe ich sehr viele komische Einträge.

Wie kann ich herausbekommen, wer dies macht ... oder wo das "Perl"-Skript liegt ?? Oder ist sowieso alles anders

Code: Select all

--21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt.7'
Resolving www.sstemple.com... --21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt.7'
Resolving www.sstemple.com... --21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt.7'
Resolving www.sstemple.com... --21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt.7'
Resolving www.sstemple.com... --21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt'
Resolving www.sstemple.com... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... --21:40:14--  http://www.sstemple.com/noticias/ma.txt
           => `ma.txt'
Resolving www.sstemple.com... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... 209.85.41.9
Connecting to www.sstemple.com[209.85.41.9]:80... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... connected.
HTTP request sent, awaiting response... 200 OK
Length: 34,673 [text/plain]

    0K ..200 OK
Length: 34,673 [text/plain]

Gruss

Markus

[marquinhos]

Hier gehts weiter ...

http://www.rootforum.org/forum/viewtopi ... 006#269006