Spam-Angriff von IRC Bot - wo finde ich jetzt das script?

[mercany]

Moin,

hatten die letzten Tage Spam-Angriffe von unserem Server.
Haben dann heute endlich den Übeltäter gefunden. Scheint en IRC-Bot zu sein.

server:~# lsof | grep undernet
perl      24828    www-data    4u     IPv4  293814894                 TCP 213-239-215-194.clients.your-server.de:42000->London.UK.EU.undernet.org:6668 (ESTABLISHED)
perl      24831    www-data    4u     IPv4  293822989                 TCP 213-239-215-194.clients.your-server.de:42010->undernet.xs4all.nl:6669 (ESTABLISHED)

Nur, wie finde ich jetzt, wo das Script liegt. Kann mir da jemand einen Tip geben?


Herzlichen Dank!

 

[marneus]

Nicht so ganz ohne, aber ein egrep über / mit der Suche nach der IP-Adresse wäre eine Möglichkeit, muss aber nicht zum Ziel führen.

Interessant wäre auch, wie ihr Euch den IRCBot eingefangen habt. Ich schätze über eine Schwachstelle auf einer Eurer Webseiten. Hier empfehle ich den Logs vom Apache zu schauen, was aber angesichts der Menge an Daten und der Unwissenheit nach dem zu suchenden String, sehr schwierig sein könnte.

Ich würde hier nach *.txt Endungen suchen, denn in einem Großteil der Fälle wird über eine txt Datei eine andere Datei includet.

Grüße,
marneus

 

[Darkdream]

Die 2. Spalte gibt die PID an. Dadurch weißt du dann welches Script das ist

 

[mercany]

Die 2. Spalte gibt die PID an. Dadurch weißt du dann welches Script das ist

Ist das jetzt ironisch zu deuten?

@marneus
Ich bin mir nicht ganz sicher.
Wir haben einen IRC-Applet auf unseren Websites laufen, ich vermute das er darüber reingekommen ist?

 

[marneus]

Darkdreams Tipp war schon ernst gemeint.

ps aufx | grep 24828 bzw. ps aufx | grep 24831

 

[Roger Wilco]

Ist das jetzt ironisch zu deuten?

Ganz und gar nicht. Schau mal in /proc/<PID>/cmdline bzw. wohin /proc/<PID>/cwd/ linkt.

Wir haben einen IRC-Applet auf unseren Websites laufen, ich vermute das er darüber reingekommen ist?

Nein, das wird clientseitig ausgeführt, nicht auf dem Server.

 

[mercany]

Darkdreams Tipp war schon ernst gemeint.

ps aufx | grep 24828 bzw. ps aufx | grep 24831

Okey, wird gemacht.
Sagst du mir noch, was ich damit genau mache?

Ausgabe

server:/home# ps aufx | grep 24828
www-data 24828  0.0  0.3   5256  3724 ?        S    Jun27   0:04 /usr/local/apache/bin/httpd -DSSL
server:/home# ps aufx | grep 24831
www-data 24831  0.0  0.3   5256  3596 ?        S    Jun27   0:04 /usr/sbin/apache2 -k start -DSSL

Die dazugehörigen Dateien existieren nicht mehr!


PS: Der grep wird etwas schwierig, weil wir noch in root/backups die backups vier weiterer server liegen haben.