[Roma.pm] SIGKILL

LordOfDeath webmaster.staff at gmail.com
Sun Jan 7 04:03:32 PST 2007


Emanuele Zeppieri ha scritto:
> -----Original Message-----
> From: roma-bounces+ema_zep=libero.it at pm.org
> [mailto:roma-bounces+ema_zep=libero.it at pm.org] On Behalf Of LordOfDeath
> Sent: Saturday, January 06, 2007 6:49 PM
> To: roma at pm.org
> Subject: Re: [Roma.pm] SIGKILL
>   
>   
>> ok fino a qua ci sono il punto era questo,
>> usando htop, ho visto il file in perl (ero root)
>> facendo un bel kill -9 pid, il processo si killava
>> ma appena due secondi dopo si era auto-rilanciato,
>> ho pensato bhè ci sarà un altro processo che controlla
>> se quest'ultimo(ma non era così purtroppo) altrimenti come è
>>     
> possibile?
>   
>> grazie per la pazienza XD
>>     
>
> Non c'e` niente da fare: sigkill non e` ne` trappabile ne` ignorabile, e
> kill -9 invia un sigkill, per cui l'unica possibilita` e` la presenza di
> un altro processo che riesegue lo script, come del resto ipotizzavi
> anche tu.
>
> Quando dopo kill -9 ti ritrovavi di nuovo il processo perl nell'output
> di top, avrai probabilmente notato come aveva ogni volta un pid diverso,
> segno inequivocabile che il processo era stato reistanziato, per fare la
> qual cosa, se escludiamo l'esoterismo, ci vuole per forza l'invocazione
> da parte di un altro processo (del resto se sigkill fosse stato
> semplicemente ignorato, il processo perl non sarebbe sparito dall'output
> di top, neanche momentaneamente).
>
> Comunque se si trattava del famigerato Perl/Shellbot o suoi derivati, mi
> sembra di ricordare che venisse iniettato attraverso applicazioni php
> buggate (mi sembra phpBB) che permettevano l'esecuzione di codice remoto
> (cosa normale nel mondo php), per cui in sostanza all'attacker bastava
> fare una semplice richiesta HTTP al tuo web server per (ri)lanciare lo
> script perl (cosa che probabilmente veniva a sua volta gestita da un bot
> remoto).
>
> Quindi ti sembrava di non individuare il processo invocante perche`
> probabilmente cercavi nell'output di top un altro processo perl, mentre
> in realta` il responsabile era apache (o altro web server da te usato).
>
> In rete dovresti trovare ogni ulteriore dettaglio.
>
> Ciao,
> Emanuele.
>
>
>
>
> _______________________________________________
> Roma mailing list
> Roma at pm.org
> http://mail.pm.org/mailman/listinfo/roma
>
>   
ti ringrazio x la risposta :)
Saluti
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://mail.pm.org/pipermail/roma/attachments/20070107/8a6f1ae9/attachment-0001.html 


More information about the Roma mailing list