IE
что значит найти бинарь?
Если его после запуска удалили, то +- никак
Если его после запуска удалили, то +- никак
Size: a a a
2020 April 21
IE
lsof -p PID
SY
Ну, я так понял, это предположение.
SY
Про удалили.
SK
Но он есть в процессах и где-то в /proc/ можно посмотреть, но я не помню где а в гугле забанили. Не могу сформулировать запрос.
/proc/PID/exe -> ссылка на реальный файл.
SY
а там нет systemctl
Там Ubuntu 12.04.5 LTS, которой пора на пенсию
Там Ubuntu 12.04.5 LTS, которой пора на пенсию
SY
но там zimbra, которую походу похачили. Она работает, но внезапно появился процесс, который жрёт 100% от одного ядра и подключён к http, но внутри бегает что-то очень похожее на irc
SY
О, точно, спасибо
SY
я помнил о нём, но забыл
SY
А куда ссылается в
/proc/<PID>/exe ? И ещё содержимое cmdlineSY
/proc/2264/exe -> /usr/bin/perl
SY
от сцук
SY
а в /proc/2264/cmdline просто test123
SY
/proc/PID/exe -> ссылка на реальный файл.
О, спасибо. Буду учиться на чужих граблях. Это чел с чатика микротовцев. Спасибо передавал. :)
SK
а в /proc/2264/cmdline просто test123
cmdline легко подменить: просто что-нибудь написать в argv. Заодно и environment испортится
И
у меня были подобные случаи на дырявых сайтах клиентов. их хакали, закидывали скрипт который методо перебора всех возможных вариантов скачивал уже саму программу и скриптик для запуска с удалением.
AA
а в /proc/2264/cmdline просто test123
троян?)
IE
но там zimbra, которую походу похачили. Она работает, но внезапно появился процесс, который жрёт 100% от одного ядра и подключён к http, но внутри бегает что-то очень похожее на irc
удалить, переустановить
И
А дальше irc бот жрущий процессор как голодный
И
для особо упертых клиентов которым лень было чинить свои кривые сайты помога запрет на исходящий http и ftp