Re: [ml] processi nascosti e compagni bella

On Wed, 17 Nov 2004 18:10:47 +0100, koba@xxxxxxxxxxxxx
<koba@xxxxxxxxxxxxx> wrote:
> http://www.expita.com/nomime.html
> Configuring Mail Clients to Send Plain ASCII Text
> 
> ----- Forwarded message from Daniel Marzini <lazzaro.marzini(at)fastwebnet.it> -----
> From: "Daniel Marzini" <lazzaro.marzini(at)fastwebnet.it>
> Subject: processi nascosti e compagni bella
> 
> Buongiorno Signori,
> mi trovo, almeno per me, una situazione abbastanza strana;
> ho una macchina con slackware 9.1, httpd (1.3.33 l' ultima versione
> fornita da swaret e aggiornato non appena possibile ogni volta) e
> proftpd.  a parte i vari sorgenti c che cercano di essere compilati
> dalla /tmp con privilegi di apache che non vanno mai a buon fine perche'
> non c'e' alcun compilatore; mi trovo con due processi (un finto
> /usr/sbin/httpd e un finto proftpd (accepting connection).
> 
> dapprima chkrootkit mi diceva di trovare 9 processi nascosti;
> ho parato il colpo con un nuovo kernel compilato da zero e senza
> supporto dei moduli, a distanza di tempo, i processi sono diventati 14
> di cui 2 sono quelli sopra.  come e' possibile?
> 
> guardando le descrizione dei due pid nel /proc non riesco ad arrivare a
> capire dove si trovano gli eseguibili.  potrei fare l' upgrade della
> versione d da 9.1 a 10.0 ma rischio di perdermi la macchina; so che una
> volta bucata, il modo piu' sicuro e piallarla ma in questo momento
> proprio non posso.
> 
> sono praticamente sicuro che sia passato da apache perche' ho trovato
> della tracce di download con wget nell 'error log.
> 
> avete idea di come risalire agli eseguibili dei processi?

se PID_MAX nei src del kernel e' pari a 0x8000 (e lo puoi vedere
velocemente con un grep -r PID_MAX /usr/src/linux/include/) questo e'
un modo semplice che dovrebbe funzionare nel tuo caso.. con bash:

bash$ for i in `seq 32768` ; do ls -la /proc/${i}/exe ; done 2>/dev/null

forse potrebbe tornare utile un diff con l'output di:

$ ls -la /proc/*/exe | grep -v /proc/self

ciao
.x