[Roma.pm] SIGKILL

Emanuele Zeppieri ema_zep at libero.it
Sun Jan 7 01:44:08 PST 2007


-----Original Message-----
From: roma-bounces+ema_zep=libero.it at pm.org
[mailto:roma-bounces+ema_zep=libero.it at pm.org] On Behalf Of LordOfDeath
Sent: Saturday, January 06, 2007 6:49 PM
To: roma at pm.org
Subject: Re: [Roma.pm] SIGKILL
  
> ok fino a qua ci sono il punto era questo,
> usando htop, ho visto il file in perl (ero root)
> facendo un bel kill -9 pid, il processo si killava
> ma appena due secondi dopo si era auto-rilanciato,
> ho pensato bhè ci sarà un altro processo che controlla
> se quest'ultimo(ma non era così purtroppo) altrimenti come è
possibile?
> grazie per la pazienza XD

Non c'e` niente da fare: sigkill non e` ne` trappabile ne` ignorabile, e
kill -9 invia un sigkill, per cui l'unica possibilita` e` la presenza di
un altro processo che riesegue lo script, come del resto ipotizzavi
anche tu.

Quando dopo kill -9 ti ritrovavi di nuovo il processo perl nell'output
di top, avrai probabilmente notato come aveva ogni volta un pid diverso,
segno inequivocabile che il processo era stato reistanziato, per fare la
qual cosa, se escludiamo l'esoterismo, ci vuole per forza l'invocazione
da parte di un altro processo (del resto se sigkill fosse stato
semplicemente ignorato, il processo perl non sarebbe sparito dall'output
di top, neanche momentaneamente).

Comunque se si trattava del famigerato Perl/Shellbot o suoi derivati, mi
sembra di ricordare che venisse iniettato attraverso applicazioni php
buggate (mi sembra phpBB) che permettevano l'esecuzione di codice remoto
(cosa normale nel mondo php), per cui in sostanza all'attacker bastava
fare una semplice richiesta HTTP al tuo web server per (ri)lanciare lo
script perl (cosa che probabilmente veniva a sua volta gestita da un bot
remoto).

Quindi ti sembrava di non individuare il processo invocante perche`
probabilmente cercavi nell'output di top un altro processo perl, mentre
in realta` il responsabile era apache (o altro web server da te usato).

In rete dovresti trovare ogni ulteriore dettaglio.

Ciao,
Emanuele.






More information about the Roma mailing list