Proceso extraño en ejecución

tag-icon tag-icon debian malware
Proceso extraño en ejecución

Acabo de mencionar que un usuario inicia un proceso llamado "httpd".

31712 ftp_johndoe  20   0 35988  8828  1460 S 14.0  0.0  1h50:31 httpd
28616 ftp_johndoe  20   0 5304M 43936 35080 S  4.0  0.2  0:02.72 /usr/bin/php5-cgi -c /var/www/vhosts/system/johndoe.net/etc/php.ini
31711 ftp_johndoe  20   0 35808  8608  1460 S  1.0  0.0  1h51:15 httpd

Bueno, me preguntaba por qué el proceso se llama "httpd", porque en Debian Apache no se inicia ningún proceso llamado "httpd".

Si lo hago, obtengo los siguientes resultados:

httpd     28868            ftp_johndoe  txt       REG              253,0     10456   12335127 /usr/bin/perl
httpd     28868            ftp_johndoe  mem       REG              253,0     22952   12335108 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so
httpd     28868            ftp_johndoe  mem       REG              253,0    109888   12335102 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so
httpd     28868            ftp_johndoe  mem       REG              253,0     18672   12335109 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so
httpd     28868            ftp_johndoe  mem       REG              253,0     39256   12980353 /usr/lib/perl5/auto/Socket/Socket.so
httpd     31712            ftp_johndoe   63u     IPv4          520937935       0t0        TCP server.name.com:38504->64.233.165.26:smtp (ESTABLISHED)
httpd     31712            ftp_johndoe   67u     IPv4          520937969       0t0        TCP server.name.com:38536->64.233.165.26:smtp (ESTABLISHED)
httpd     31712            ftp_johndoe   73u     IPv4          520937951       0t0        TCP server.name.com:38520->64.233.165.26:smtp (ESTABLISHED)

Entonces supongo que esto es malware. ¿Pero cómo puedo encontrar el script que inicia el proceso httpd?

Respuesta1

Puedes comenzar a buscar el ejecutable usando

ls -l /proc/<PID>/exe

Luego puede encontrar quién lo creó (el PID principal) con

ps -p <PID> -o ppid=

Y busca hasta encontrar el punto de partida.

También puede verificar los puntos de ejecución automática comunes, como scripts de inicio, trabajos cron globales y específicos del usuario, atscripts y rc.localarchivos.

ACTUALIZAR:Acabo de recordar un programa llamadofisgóneso

Snoopy es una pequeña biblioteca que registra todos los comandos ejecutados (+ argumentos) en su sistema.

Podría ser muy útil usarlo para verificar la ejecución del comando.

Esta no es una solución completa, soy consciente de que existen formas sencillas de evitarlo. Ojalá alguien con más experiencia que yo nos pueda ayudar más.

información relacionada