pomoc s hackovanym serverem (hack probiha prave ted)
Petr Stehlik
pstehlik na sophics.cz
Středa Červenec 11 17:03:14 CEST 2012
Pavel Kankovsky píše v St 11. 07. 2012 v 12:52 +0200:
> To může být tím, že z pohledu Apache se ten požadavek stále vyřizuje.
> Do logu se zapíše, až budou všechny spamy rozeslány.
Ah, na to vždycky zapomenu. V tom případě se to v logu hned tak
neobjeví.
> To jsou asi normální roury, takže na disku nic nenajdete. Nicméně u
> nějakého jiného procesu by měla být roura se stejným inodem coby druhým
> koncem.
jak jsem říkal, hledal jsem takový proces, ale není tam žádný.
> Udělejte z těch pseudo-findů i ze všech procesů Apache a spol. obraz
> paměti příkazem gcore. Tak (pravděpodobně) zajistíte jak zdroják toho
> skriptu, tak obsah požadavku, kterým se podařilo ty skripty spustit.
Bohužel jsem je pozabíjel dřív, než jsem měl šanci udělat obrazy paměti.
Nicméně mě napadlo, jestli by nešlo nějak jednoduše obalit /usr/bin/perl
něčím, co by zaznamenávalo STDIN, něco jako
#!/bin/sh
date >> /var/log/perl.log
echo "$@" >> /var/log/perl.log
tee --append /var/log/perl.log /usr/bin/perl.original $@
a pak číhat, až se to zvíře vrátí. Mohlo by to být jednodušší než se
probírat obrazy paměti, ne? Ten pseudo-skript výše by se dal vylepšit o
každé nové spuštění perlu do samostatného souboru, aby se to nemíchalo
dohromady.
Petr
Další informace o konferenci Linux