Всем привет!
Пару дней назад на виртуалке (CentOS release 6.6 (Final), nginx+apache+mysql+php) обнаружилась проблема. Запускаются левые процессы и рассылают спам прямым подключением к почтовым серверам. Процессы выглядят так: 8373 apache 20 0 39936 5212 1096 S 1.3 0.1 0:09.28 httpd.pl <br/> 8374 apache 20 0 39936 5216 1096 S 1.3 0.1 0:09.39 httpd.pl
8399 apache 20 0 40024 5016 908 S 1.0 0.1 0:00.43 httpd.pl
И так: apache 8373 2.6 0.1 39936 5212 ? Ss 08:29 0:09 proc apache 8374 2.6 0.1 39936 5216 ? Ss 08:29 0:09 proc
по netstat -anp видны их подключения к внешним почтовый серверам. Один из процессов так же открывает порт tcp:27451 на прослушивание. Делал lsof для этих процессов - видно только использование perl и его библиотек. На другие файлы ссылок не нашел.
Поискав недавние созданные файлы от пользователя apache нашел бинарник в /var/tmp и запись в кроне /var/spool/cron/apache: */10 * * * * /var/tmp/TahOEHFvXb >/dev/null 2>&1
Кому интересно вот архив с бинарником https://dl.dropboxusercontent.com/u/757649/_virus.zip
На сервере несколько сайтов на wordpress (уже обновил их), на modx evo, несколько самописных.
Собственно вопрос: как найти где пролез вирус? Чтобы это дело прикрыть и чтобы больше не повторялось. Может что-то искать в логах? Искать еще какие-то созданные файлы или как?
