Wie kann ich feststellen, ob diese Perl-Prozesse bösartig sind?

tag-icon tag-icon security apache-httpd perl php process-management
Wie kann ich feststellen, ob diese Perl-Prozesse bösartig sind?

Unser Suse Linux-Webserver lief in letzter Zeit ziemlich langsam und ein Neustart behebt das Problem vorübergehend.

Nach einigen weiteren Überprüfungen stellte ich fest, dass die Firewall ausgehenden Datenverkehr auf seltsamen Ports blockiert, der anscheinend von einem Perl-Befehl stammt ...

Netzstat:

# netstat -nape | head -2; netstat -nape | grep 185.162.9.131
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name   
tcp        0      1 192.168.0.1:45781       185.162.9.131:147       SYN_SENT    30         65180      26829/fixit         
tcp        0      1 192.168.0.1:45777       185.162.9.131:147       SYN_SENT    30         65175      29159/epim          
tcp        0      1 192.168.0.1:45783       185.162.9.131:147       SYN_SENT    30         65182      26052/usel          
tcp        0      1 192.168.0.1:45773       185.162.9.131:147       SYN_SENT    30         65067      6265/usel           
tcp        0      1 192.168.0.1:45782       185.162.9.131:147       SYN_SENT    30         65181      5885/epim           
tcp        0      1 192.168.0.1:45771       185.162.9.131:147       SYN_SENT    30         65065      5529/epim           
tcp        0      1 192.168.0.1:45775       185.162.9.131:147       SYN_SENT    30         65161      26432/epim

lsof: zeigt an, dass es sich um einen Perl-Befehl handelt

# lsof -i :45775
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
perl    26432 wwwrun    4u  IPv4  65161      0t0  TCP apache.home:45775->hosted-by.eurohoster.online:iso-ip (SYN_SENT)

Ich hatte gehofft, dass pstree einige nützliche Informationen preisgibt, bin aber immer noch nicht weitergekommen:

# pstree -ap wwwrun
perl,5529 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5530 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5885 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5886 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,6265 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,6266 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,26052 \040\040\040\040\040\040\040\040\040\040

perl,26053 \040\040\040\040\040\040\040\040\040\040

perl,26432 \040\040\040\040\040\040\040\040\040\040

perl,26433 \040\040\040\040\040\040\040\040\040\040

perl,26829 \040\040\040\040\040\040\040\040\040

perl,26830 \040\040\040\040\040\040\040\040\040

perl,28459 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

Hat jemand Vorschläge, wie ich genau herausfinden kann, was diese Perl-Prozesse sind und wie sie gestartet werden?

verwandte Informationen