Nous hébergeons donc un serveur Web géoservice au bureau.
Quelqu'un a apparemment fait irruption dans cette boîte (probablement via ftp ou ssh), et a mis une sorte de rootkit géré par irc.
Maintenant j'essaye de nettoyer le tout, j'ai trouvé le processus pid qui essaie de se connecter via irc, mais je ne peux pas comprendre qui est le processus d'appel (déjà regardé avec ps, pstree, lsof) Le processus est un perl script appartenant à l'utilisateur www, mais ps aux | grep affiche un faux chemin de fichier dans la dernière colonne.
Y a-t-il un autre moyen de retracer ce pid et d'attraper l'invocateur?
J'ai oublié de mentionner: le noyau est 2.6.23, qui est exploitable pour devenir root, mais je ne peux pas trop toucher à cette machine, donc je ne peux pas mettre à jour le noyau
EDIT: lsof pourrait aider:
lsof -p 9481
UTILISATEUR PID UTILISATEUR TYPE FD DISPOSITIF TAILLE NOM DE NŒUDss
perl 9481 www cwd DIR 8,2 608 2 / ss
perl 9481 www rtd DIR 8,2 608 2 / ss
perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 / lib64 / libc -2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / IO / IO.soss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / Socket / Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)