Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-02-04 11:41:20

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

xargsu i perxg - co to za procesy?

Witajcie

Od kilku dni zaobserwowałem dwa procesy kóre wykazują się dużą aktywnościa. Oba zaiinicjowane są przez użytkownika apache2. Ze zwględu na próbę upodobnienia się pierwszego do znanego procesu zaczęłem podejrzewać, ze to jakieś exploity albo coś. Googlowałem, próbowałem polecenia whereis i nic nie znalazłem. Czy mam się czym martwić?

Kod:

30222 www-data  20   0   36432   6472   2188 S   3,0  0,3 180:11.28 perxg
   13 root      20   0       0      0      0 S   2,3  0,0   3676:33 ksoftirqd/1
23417 www-data  20   0   36540   9656   3188 S   2,3  0,5  86:09.16 xargsu

Offline

 

#2  2018-02-04 22:07:30

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: xargsu i perxg - co to za procesy?

Sprawdź lsof pid procesu to będziesz widział co to jest. Obstawiam koparkę do kryptowaluty.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#3  2018-02-05 01:11:32

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Kod:

lsof -p 23417
COMMAND   PID     USER   FD   TYPE     DEVICE SIZE/OFF    NODE NAME
xargsu  23417 www-data  cwd    DIR        8,1     4096       2 /
xargsu  23417 www-data  rtd    DIR        8,1     4096       2 /
xargsu  23417 www-data  txt    REG        8,1    10416 2505177 /usr/bin/perl
xargsu  23417 www-data  mem    REG        8,1    27136 2505158 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/File/Glob/Glob.so
xargsu  23417 www-data  mem    REG        8,1    89368 2505152 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/POSIX/POSIX.so
xargsu  23417 www-data  mem    REG        8,1    18632 2505159 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/Fcntl/Fcntl.so
xargsu  23417 www-data  mem    REG        8,1    43408 2505151 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/Socket/Socket.so
xargsu  23417 www-data  mem    REG        8,1    18728 2505154 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/IO/IO.so
xargsu  23417 www-data  mem    REG        8,1    35176 3145783 /lib/x86_64-linux-gnu/libcrypt-2.19.so
xargsu  23417 www-data  mem    REG        8,1  1738176 3145771 /lib/x86_64-linux-gnu/libc-2.19.so
xargsu  23417 www-data  mem    REG        8,1   137384 3145734 /lib/x86_64-linux-gnu/libpthread-2.19.so
xargsu  23417 www-data  mem    REG        8,1  1051056 3145850 /lib/x86_64-linux-gnu/libm-2.19.so
xargsu  23417 www-data  mem    REG        8,1    14664 3145793 /lib/x86_64-linux-gnu/libdl-2.19.so
xargsu  23417 www-data  mem    REG        8,1  1840056 2505139 /usr/lib/x86_64-linux-gnu/libperl.so.5.20.2
xargsu  23417 www-data  mem    REG        8,1   140928 3145755 /lib/x86_64-linux-gnu/ld-2.19.so
xargsu  23417 www-data  mem    REG        8,1   147889 2495962 /usr/share/locale/pl/LC_MESSAGES/libc.mo
xargsu  23417 www-data  mem    REG        8,1  1607760 2490520 /usr/lib/locale/locale-archive
xargsu  23417 www-data  mem    REG        8,1    26258 2504791 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
xargsu  23417 www-data    0r   CHR        1,3      0t0    1028 /dev/null
xargsu  23417 www-data    1w   CHR        1,3      0t0    1028 /dev/null
xargsu  23417 www-data    2w   CHR        1,3      0t0    1028 /dev/null
xargsu  23417 www-data    6u  IPv4 1057848099      0t0     UDP *:41656
xargsu  23417 www-data    7u  IPv4 1057848271      0t0     UDP *:34505
xargsu  23417 www-data    8u  IPv4 1057848283      0t0     UDP *:48993
xargsu  23417 www-data   11u  IPv4 1057848287      0t0     UDP *:55138
xargsu  23417 www-data   13u  IPv4 1057848268      0t0     UDP *:53635
xargsu  23417 www-data   16u  IPv4 1057847260      0t0     UDP *:34530
xargsu  23417 www-data   18u  IPv4 1057848299      0t0     UDP *:37987
xargsu  23417 www-data   22u  IPv4 1057848289      0t0     UDP *:48874
xargsu  23417 www-data   23u  IPv4 1057848321      0t0     UDP *:44256
xargsu  23417 www-data   24u  IPv4 1057848088      0t0     UDP *:55194
xargsu  23417 www-data   28u  IPv4 1057848267      0t0     UDP *:39562
xargsu  23417 www-data   29u  IPv4 1057848269      0t0     UDP *:47378
xargsu  23417 www-data   32u  IPv4 1057848098      0t0     UDP *:35399
xargsu  23417 www-data   33u  IPv4 1057848305      0t0     UDP *:48976
xargsu  23417 www-data   35u  IPv4 1057847265      0t0     UDP *:35142
xargsu  23417 www-data   36u  IPv4 1057848315      0t0     UDP *:56532
xargsu  23417 www-data   37u  IPv4 1057848300      0t0     UDP *:34711
xargsu  23417 www-data   40u  IPv4 1057848316      0t0     UDP *:44348
xargsu  23417 www-data   41u  IPv4 1057848301      0t0     UDP *:44237
xargsu  23417 www-data   42u  IPv4 1057847261      0t0     UDP *:44157
xargsu  23417 www-data   43u  IPv4 1057848285      0t0     UDP *:50614
xargsu  23417 www-data   47u  IPv4 1057848317      0t0     UDP *:56401
xargsu  23417 www-data   54u  IPv4 1057848241      0t0     UDP *:50639
xargsu  23417 www-data   55u  IPv4 1057848257      0t0     UDP *:54794
xargsu  23417 www-data   65u  IPv4 1057848251      0t0     UDP *:34527
xargsu  23417 www-data   66u  IPv4 1057848253      0t0     UDP *:38135
xargsu  23417 www-data   79u  IPv4 1057848383      0t0     UDP *:50377
xargsu  23417 www-data   80u  IPv4 1057848384      0t0     UDP *:47726
xargsu  23417 www-data   81u  IPv4 1057848385      0t0     UDP *:44888
xargsu  23417 www-data   85u  IPv4 1057848389      0t0     UDP *:47024
xargsu  23417 www-data  103u  IPv4 1057848536      0t0     TCP poczta:46306->etb-4.mail.tiscali.it:smtp (ESTABLISHED)
xargsu  23417 www-data  109u  IPv4 1057848537      0t0     TCP poczta:46307->etb-4.mail.tiscali.it:smtp (ESTABLISHED)
xargsu  23417 www-data  110u  IPv4 1057848538      0t0     TCP poczta:46308->etb-4.mail.tiscali.it:smtp (ESTABLISHED)
[root@dns] /home/krzysztof # lsof -p 30222
COMMAND   PID     USER   FD   TYPE     DEVICE SIZE/OFF    NODE NAME
perxg   30222 www-data  cwd    DIR        8,1     4096       2 /
perxg   30222 www-data  rtd    DIR        8,1     4096       2 /
perxg   30222 www-data  txt    REG        8,1    10416 2505177 /usr/bin/perl
perxg   30222 www-data  mem    REG        8,1    27136 2505158 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/File/Glob/Glob.so
perxg   30222 www-data  mem    REG        8,1    89368 2505152 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/POSIX/POSIX.so
perxg   30222 www-data  mem    REG        8,1    18632 2505159 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/Fcntl/Fcntl.so
perxg   30222 www-data  mem    REG        8,1    43408 2505151 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/Socket/Socket.so
perxg   30222 www-data  mem    REG        8,1    18728 2505154 /usr/lib/x86_64-linux-gnu/perl/5.20.2/auto/IO/IO.so
perxg   30222 www-data  mem    REG        8,1    35176 3145783 /lib/x86_64-linux-gnu/libcrypt-2.19.so
perxg   30222 www-data  mem    REG        8,1  1738176 3145771 /lib/x86_64-linux-gnu/libc-2.19.so
perxg   30222 www-data  mem    REG        8,1   137384 3145734 /lib/x86_64-linux-gnu/libpthread-2.19.so
perxg   30222 www-data  mem    REG        8,1  1051056 3145850 /lib/x86_64-linux-gnu/libm-2.19.so
perxg   30222 www-data  mem    REG        8,1    14664 3145793 /lib/x86_64-linux-gnu/libdl-2.19.so
perxg   30222 www-data  mem    REG        8,1  1840056 2505139 /usr/lib/x86_64-linux-gnu/libperl.so.5.20.2
perxg   30222 www-data  mem    REG        8,1   140928 3145755 /lib/x86_64-linux-gnu/ld-2.19.so
perxg   30222 www-data  mem    REG        8,1   147889 2495962 /usr/share/locale/pl/LC_MESSAGES/libc.mo
perxg   30222 www-data  mem    REG        8,1  1607760 2490520 /usr/lib/locale/locale-archive
perxg   30222 www-data  mem    REG        8,1    26258 2504791 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
perxg   30222 www-data    0r   CHR        1,3      0t0    1028 /dev/null
perxg   30222 www-data    1w   CHR        1,3      0t0    1028 /dev/null
perxg   30222 www-data    2w   CHR        1,3      0t0    1028 /dev/null
perxg   30222 www-data    6u  IPv4 1057848677      0t0     UDP *:35160
perxg   30222 www-data   17u  IPv4 1057849498      0t0     UDP *:55008
perxg   30222 www-data   18u  IPv4 1057849204      0t0     UDP *:38928
perxg   30222 www-data   24u  IPv4 1057848983      0t0     UDP *:37791
perxg   30222 www-data   28u  IPv4 1057849618      0t0     UDP *:42557
perxg   30222 www-data   32u  IPv4 1057849335      0t0     UDP *:47449
perxg   30222 www-data   35u  IPv4 1057849319      0t0     UDP *:39840
perxg   30222 www-data   36u  IPv4 1057849302      0t0     UDP *:44750
perxg   30222 www-data   38u  IPv4 1057849286      0t0     UDP *:52115
perxg   30222 www-data   45u  IPv4 1057849781      0t0     UDP *:42546
perxg   30222 www-data   51u  IPv4 1057848733      0t0     UDP *:44872
perxg   30222 www-data   68u  IPv4 1057848967      0t0     UDP *:41545
perxg   30222 www-data   76u  IPv4 1057849860      0t0     UDP *:56653
perxg   30222 www-data   91u  IPv4 1057848716      0t0     UDP *:47140

Offline

 

#4  2018-02-05 01:17:59

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Jeszcze takie pytanie mi się nasuwa: jak poznać ścieżkę, z jakiej zostało wywołane polecenie?

Offline

 

#5  2018-02-05 01:47:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: xargsu i perxg - co to za procesy?

DeWu napisał(-a):

Jeszcze takie pytanie mi się nasuwa: jak poznać ścieżkę, z jakiej zostało wywołane polecenie?

jeżeli znasz PID procesu to tak (tutaj PID=6845):

Kod:

 ls -l /proc/6845/exe
lrwxrwxrwx 1 root root 0 02-04 20:57 /proc/6845/exe -> /usr/sbin/sshd

Lista libów, do których się odwołuje:

Kod:

cat  /proc/6845/maps

Lista urządzeń i socketów tak:

Kod:

ls -l /proc/6845/fd/*

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2018-02-05 07:57:32

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Kod:

 ls /proc/30222/exe
lrwxrwxrwx 1 www-data www-data 0 lut  3 03:09 /proc/30222/exe -> /usr/bin/perl

to jakiś skrypt pera ale z jakiego katalogu i z jakimi argumentami wywołany. Można to jakoś sprawdzić?

Offline

 

#7  2018-02-05 08:08:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: xargsu i perxg - co to za procesy?

z roota;

Kod:

updatedb

potem

Kod:

locate xargsu

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2018-02-05 08:17:28

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Pusto, zarówno dla xargsu jak i perxg

Co to może być że nawet Google o tym nie wie?

Offline

 

#9  2018-02-05 12:34:11

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: xargsu i perxg - co to za procesy?

Zrób zrzut pamięci procesu i wykonaj inżynierie wsteczną


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#10  2018-02-05 13:04:55

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Dobry żart. Czy ja ci wyglądam na jakiegoś inżyniera albo profesora informatyki?

Offline

 

#11  2018-02-05 13:07:58

  Elizabeth - Użytkownik

Elizabeth
Użytkownik
Zarejestrowany: 2017-12-27

Re: xargsu i perxg - co to za procesy?

A nie możesz wziąść pstree -p i zobaczyć skąd ten proces jest ?

A jeśli chodzi o to z jakimi argumentami to było wywołane to inaczej tego nie wyciągniesz.


GPG Key ID: 0x8D55F13761AF5230
Fingerprint: B884 468A D6DC 0516 2B43 6675 8D55 F137 61AF 5230

Offline

 

#12  2018-02-05 22:10:38

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: xargsu i perxg - co to za procesy?

Odwołań POST w logach serwera www szukaj. Skrypty wysyłają spam. Pewnie tylko siedzą w ramie, fizycznie ich nie ma już.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#13  2018-02-07 21:19:55

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Trochę pogrepowałem acccess.loga i jedyne co rzuciło mi się w oczy to:

Kod:

60.12.107.130 - - [06/Feb/2018:14:11:15 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 438 "-" "-"
60.12.107.130 - - [06/Feb/2018:14:11:15 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 438 "-" "-"
60.12.107.130 - - [06/Feb/2018:17:04:51 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 438 "-" "-"

Offline

 

#14  2018-02-08 05:47:55

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: xargsu i perxg - co to za procesy?

to jakiś skrypt pera ale z jakiego katalogu i z jakimi argumentami wywołany. Można to jakoś sprawdzić?

Mając pida możesz sprawdzić zawartość /proc/$PID/fd
Znajdziesz tam aktualnie otwarte pliki- nikła szansa ale tam moze się znaleźć nazwa źródłowego pliku z programem perla.
jeszcze w /proc/$PID masz plik cmdline

Kod:

ru30rt@wppll0ita268 /proc/1526 $ ps -ef |awk '$0 ~ /perl/ && $0 !~ /awk/'
ru30rt    1526  1055  0 05:40 pts/1    00:00:00 perl testy.pl
ru30rt@wppll0ita268 /proc/1526 $ cat cmdline ;echo
perltesty.pl

Sprawdziłbym też otwarte pliki dla apacza, a nuż trzyma FD skryptu ;)

Jeszcze dla pida naszych koparek:

Kod:

ru30rt@wppll0ita268 /proc/1526 $ ls -ld cwd
lrwxrwxrwx 1 ru30rt ru30rt 0 Feb  8 05:40 cwd -> /home/ru30rt/perl

w cwd masz ścieżkę z której zostało polecenie wywołane.

Offline

 

#15  2018-02-08 08:51:02

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

To polecenie z awk które dałeś nic nie znajduje. Za to wejście do /proc/$pid i tabowanie daje strasznie dużo podpowidzi imho:

Kod:

[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  40  49  54  56  61  9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  40  49  54  56  61  9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  38  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  38  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0  1  2  3
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  2   24  25  26  27  28  29  3   30  31  32  33  34  35  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  3   34  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  22  23  24  25  26  27  28  29  3   30  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  14  15  16  17  18  19  2   20  21  23  24  25  26  27  28  29  3   31  32  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  29  3   30  31  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  29  3   30  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  19  2   20  3   4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  29  3   30  31  32  33  4   5   6   7   8   9

Coś mi się dużo tego wydaje

Offline

 

#16  2018-02-08 10:16:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: xargsu i perxg - co to za procesy?

Używasz modułu perl w Apachu? jeśli nie, to go wyłącz po prostu, i przez Apparmora zablokuj Apachowi dostęp do polecenia perl.

Pewnie te skrypty są odpalane zdalnie w taki lub podobny sposób, do tego:

Kod:

 curl -sS https://raw.githubusercontent.com/dave-theunsub/gtk3-perl-demos/master/calendar.pl | perl

Dlatego nie widać ich w systemie plików, musisz s=za to namierzyć skrypta, który inicjuje taką akcję.
Najlepiej to zrobić przez porównanie sum kontrolnych albo samej listy plików między systemem a backupem.
Możesz też przegrepować pod kontem wyrażenia perl wszystkie pliki,  do których Apache miał  prawo zapisu.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2018-02-08 13:44:23

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

W apache'u nie, w systemie tak. Wszystkie poradnki z googla podpwiadają ustawić chmody dla /bin/perl takie, żeby mógł je wykonywać tylko root ale ja nie mogę sobie na coś takiego pozwolić

Próbowałem czegoś takiego:

Kod:

/etc/apache2/conf-enabled # a2dismod
Your choices are: access_compat alias auth_basic authn_core authn_file authz_core authz_host authz_user autoindex deflate dir env filter mime mpm_prefork negotiation php5 reqtimeout rewrite setenvif status
Which module(s) do you want to disable (wildcards ok)?
perl
ERROR: Module perl does not exist!

i takiego:

Kod:

/etc/apache2/conf-enabled # a2dismod cgi
Module cgi already disabled

Ale nie wiem, czy to przyniesie zamierzony efekt

Ostatnio edytowany przez DeWu (2018-02-08 13:45:29)

Offline

 

#18  2018-02-08 14:08:05

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: xargsu i perxg - co to za procesy?

A zablokowanie dla php wszystkich funkcji typu exec* też nic nie da?
Te procesy się same z siebie nie wzięły, któryś skrypt w php ma dziurę, albo pozwalasz wykonać skrypt w katalogu upload.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#19  2018-02-09 07:16:15

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: xargsu i perxg - co to za procesy?

Ehh, exec również używam.....

Offline

 

#20  2018-02-09 07:35:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: xargsu i perxg - co to za procesy?

To obejmij Apacha  i PHP profilem Apparmora, i tam ustalisz, i co można uruchomić, a czego nie wolno.

Przy okazji będziesz miał piękne komunikaty w logach na temat tego, co Apache chciał odpalić, i dostał po łapach.

Ostatnio edytowany przez Jacekalex (2018-02-09 08:16:11)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2018-02-10 14:17:51

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: xargsu i perxg - co to za procesy?

Ostatnio miałem parę takich przypadków jak w tym wątku, wszystkie związane z syfem w wordpressie.

Analiza na szybko. Wstrzykiwany jest kod do wordpressa, ściąga sobie atakujący binarki i uruchamia. Za każdym ubiciem pojawiają się nowe. Widać to po odwołaniach post.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#22  2018-02-10 15:31:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: xargsu i perxg - co to za procesy?

mati75 napisał(-a):

Ostatnio miałem parę takich przypadków jak w tym wątku, wszystkie związane z syfem w wordpressie.

Analiza na szybko. Wstrzykiwany jest kod do wordpressa, ściąga sobie atakujący binarki i uruchamia. Za każdym ubiciem pojawiają się nowe. Widać to po odwołaniach post.

Jak pozwalasz, żeby demon php uruchamiał skypty, które sam zapisał, to takie własnie są rezultaty.

Domyślna konfiguracja Debiana zakłada,że Apache chodzi jako user www-data,
a pliki w $HOME/public_html należą do użytkownika.
W takim wypadku Apache ani PHP nic tam zapisać nie mogą, bez wyraźnego pozwolenia właściciela plików i folderów.

Ale kiedy spece od firm hostingowych ładują Ubuntu-16.04, potem uruchamiają Apacha z modułem SUEXEC czy podobnym, żeby Vhost i PHP  chodziły z prawami właściciela plików, to cały model bezpieczeństwa Linuxa (wynikający z separacji uprawnień) diabli biorą, i mamy potem  poziom bezpieczeństwa
porównywalny  z Windows 95.

Własnie dlatego powinien być ustawowy zakaz umieszczania na kontach hostingowych wszystkiego, co choćby przez sekundę przetwarza dane osobowe, jak np sklepy internetowe.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2018-02-10 16:06:54

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: xargsu i perxg - co to za procesy?

DeWu napisał(-a):

To polecenie z awk które dałeś nic nie znajduje. Za to wejście do /proc/$pid i tabowanie daje strasznie dużo podpowidzi imho:

Kod:

[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  24  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  4   40  49  54  56  61  7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  40  49  54  56  61  9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   10  12  13  16  19  2   23  25  26  29  32  38  40  49  54  56  61  9
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  38  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  38  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  29  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fd/
0   1   12  13  2   25  26  32  40  49  54  56  61
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0  1  2  3
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  2   24  25  26  27  28  29  3   30  31  32  33  34  35  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  3   34  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  22  23  24  25  26  27  28  29  3   30  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  14  15  16  17  18  19  2   20  21  23  24  25  26  27  28  29  3   31  32  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  29  3   30  31  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  29  3   30  4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  19  2   20  3   4   5   6   7   8   9
[root@dns] /home/krzysztof # cat /proc/28687/fdinfo/
0   1   10  11  12  13  14  15  16  17  18  19  2   20  21  22  23  24  25  26  27  28  29  3   30  31  32  33  4   5   6   7   8   9

Coś mi się dużo tego wydaje

o hryste panie XD
Wiesz co, jak nie wiesz jak obchodzić się z plikami w /proc/$pid/ /proc/$pid/fd i nie umiesz czytać ze zrozumieniem (bo dokładnie napisałem co trzeba zrobić w tym katalogu), to może daruj sobie adminowanie i przerzuć się na, no nie wiem, handel warzywami?
cat $SCIEZKA i tabowanie to nie jest sprawdzanie zawartości katalogu, jakby Ci zabrali taba z klawiatury albo basha to co, leżysz?
Sorry za wycieczkę, ale poziom nieprofesjonalizmu złamał mi kręgosłup.
Żeby nie było że jestem nosacz i janusz:
https://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/proc.html <- o co chodzi z procfs, przeczytaj przynajmniej o file descriptor

Offline

 

#24  2018-02-10 20:38:54

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: xargsu i perxg - co to za procesy?

Jacekalex napisał(-a):

Ale kiedy spece od firm hostingowych ładują Ubuntu-16.04, potem uruchamiają Apacha z modułem SUEXEC czy podobnym, żeby Vhost i PHP  chodziły z prawami właściciela plików, to cały model bezpieczeństwa Linuxa (wynikający z separacji uprawnień) diabli biorą, i mamy potem  poziom bezpieczeństwa
porównywalny  z Windows 95.

Akurat ze mega zjebaną konfiguracją. Nie ja stawiałem, dostałem tylko do administracji. Jeszcze globalny php.ini można dodać do tego to już jest niezły hardcore.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#25  2018-02-10 23:34:05

  Marco - Nowy użytkownik

Marco
Nowy użytkownik
Zarejestrowany: 2018-02-10

Re: xargsu i perxg - co to za procesy?

(Google Trads:)
Witaj!
Miałem do czynienia z tym samym problemem kilka dni temu, szukałem w Google "xargsu", "perxg". Tylko twoje forum wyróżnia się, więc dajesz mi początek wyjaśnienia:

znalazłem ścieżkę złośliwego oprogramowania: zlokalizowałem tutaj /var/tmp/.. zakodowany backdoor forla używając IO::Socket & co .. (przeznaczony do spameru lub SEO blackhat być może)
sprawdzając datę utworzenia tego pliku i logi apache, znalazłem backpage php tutaj: /wp-content/uploads/2018/02/azzieur/hhlfoei.php
azzieur.zip były również obecne o_O

Znalazłem także otwarty port dzięki:

Kod:

netstat -Wlp

Zhackowana wordpress miała tylko 3 rozszerzenia: "contact-form-7" (prawdopodobnie stara wersja ..!), "Easy-wp-smtp" i "advanced-custom-fields"

Do zobaczenia! i przepraszam za angielski, im francuski

----
English version :
Hello!
I was faced to the same probleme few days ago, i googled "xargsu", "perxg".. only your forum stands out, so i give you my beginning of explanation :

i found the path of the malware : located here /var/tmp/.. an encoded perl backdoor using IO::Socket & co.. (designed for spaming or SEO blackhat maybe)
looking the creation date of this file + apache logs, i found a php backboor here : /wp-content/uploads/2018/02/azzieur/hhlfoei.php
azzieur.zip were present too o_O

i also found an open port thanks to :

netstat -Wlp

The hacked wordpress had only 3 extensions : "contact-form-7" (probably an old version..!), "easy-wp-smtp" and "advanced-custom-fields"

See you! and sorry for the english/trad, im french

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)