Quindi, ospitiamo un server web geoservizio in ufficio.
Qualcuno apparentemente è entrato in questa casella (probabilmente via ftp o ssh), e ha messo una specie di rootkit gestito da irc.
Ora sto cercando di ripulire il tutto, ho trovato il processo pid che tenta di connettersi tramite irc, ma non riesco a capire chi è il processo di invocazione (già guardato con ps, pstree, lsof) Il processo è un perl script di proprietà dell'utente www, ma ps aux | grep visualizza un percorso file falso nell'ultima colonna.
C'è un altro modo per rintracciare quel pid e catturare l'invocatore?
Ho dimenticato di menzionare: il kernel è 2.6.23, che è sfruttabile per diventare root, ma non riesco a toccare troppo questa macchina, quindi non posso aggiornare il kernel
EDIT: lsof potrebbe aiutare:
lsof -p 9481
UTENTE PID COMANDO TIPO FD MISURA DISPOSITIVO NOME NODOss
perl 9481 www cwd DIR 8,2 608 2 / ss
perl 9481 www rtd DIR 8,2 608 2 / ss
perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2,5.soss
perl 9481 www mem REG 8,2 1602809 23289 / lib64 / libc -2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / IO / IO.soss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / Socket / Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)