所以,我们在办公室托管了一个地理服务网络服务器。
显然有人闯入了这个盒子(可能是通过 ftp 或 ssh),并放入了某种 irc 管理的 rootkit 东西。
现在我正在尝试清理整个事情,我找到了试图通过 irc 连接的进程 pid,但我无法弄清楚谁是调用进程(已经用 ps、pstree、lsof 看过)该进程是一个 perl www 用户拥有的脚本,但 ps aux |grep 在最后一列显示假文件路径。
是否有另一种方法来跟踪该 pid 并捕获调用者?
忘了说:内核是2.6.23,可以利用成为root,但是我不能太接触这台机器,所以我不能升级内核
编辑:lsof 可能有帮助:
lsof -p 9481
命令 PID 用户 FD 类型设备大小节点名称 ss
perl 9481 www cwd DIR 8,2 608 2 /ss
perl 9481 www rtd DIR 8,2 608 2 /ss
perl 9481 www, txt 2838usr /s斌/ perl5.8.8ss
perl的WWW 9481 REG MEM 8,2 135348 23286 /lib64/ld-2.5.soss
perl的WWW 9481 REG MEM 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl的WWW 9481 …