<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
<title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Emanuele Zeppieri ha scritto:
<blockquote cite="mid000301c73240$66249e00$1400000a@main" type="cite">
<pre wrap="">-----Original Message-----
From: <a class="moz-txt-link-abbreviated" href="mailto:roma-bounces+ema_zep=libero.it@pm.org">roma-bounces+ema_zep=libero.it@pm.org</a>
[<a class="moz-txt-link-freetext" href="mailto:roma-bounces+ema_zep=libero.it@pm.org">mailto:roma-bounces+ema_zep=libero.it@pm.org</a>] On Behalf Of LordOfDeath
Sent: Saturday, January 06, 2007 6:49 PM
To: <a class="moz-txt-link-abbreviated" href="mailto:roma@pm.org">roma@pm.org</a>
Subject: Re: [Roma.pm] SIGKILL
</pre>
<blockquote type="cite">
<pre wrap="">ok fino a qua ci sono il punto era questo,
usando htop, ho visto il file in perl (ero root)
facendo un bel kill -9 pid, il processo si killava
ma appena due secondi dopo si era auto-rilanciato,
ho pensato bhè ci sarà un altro processo che controlla
se quest'ultimo(ma non era così purtroppo) altrimenti come è
</pre>
</blockquote>
<pre wrap=""><!---->possibile?
</pre>
<blockquote type="cite">
<pre wrap="">grazie per la pazienza XD
</pre>
</blockquote>
<pre wrap=""><!---->
Non c'e` niente da fare: sigkill non e` ne` trappabile ne` ignorabile, e
kill -9 invia un sigkill, per cui l'unica possibilita` e` la presenza di
un altro processo che riesegue lo script, come del resto ipotizzavi
anche tu.
Quando dopo kill -9 ti ritrovavi di nuovo il processo perl nell'output
di top, avrai probabilmente notato come aveva ogni volta un pid diverso,
segno inequivocabile che il processo era stato reistanziato, per fare la
qual cosa, se escludiamo l'esoterismo, ci vuole per forza l'invocazione
da parte di un altro processo (del resto se sigkill fosse stato
semplicemente ignorato, il processo perl non sarebbe sparito dall'output
di top, neanche momentaneamente).
Comunque se si trattava del famigerato Perl/Shellbot o suoi derivati, mi
sembra di ricordare che venisse iniettato attraverso applicazioni php
buggate (mi sembra phpBB) che permettevano l'esecuzione di codice remoto
(cosa normale nel mondo php), per cui in sostanza all'attacker bastava
fare una semplice richiesta HTTP al tuo web server per (ri)lanciare lo
script perl (cosa che probabilmente veniva a sua volta gestita da un bot
remoto).
Quindi ti sembrava di non individuare il processo invocante perche`
probabilmente cercavi nell'output di top un altro processo perl, mentre
in realta` il responsabile era apache (o altro web server da te usato).
In rete dovresti trovare ogni ulteriore dettaglio.
Ciao,
Emanuele.
_______________________________________________
Roma mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Roma@pm.org">Roma@pm.org</a>
<a class="moz-txt-link-freetext" href="http://mail.pm.org/mailman/listinfo/roma">http://mail.pm.org/mailman/listinfo/roma</a>
</pre>
</blockquote>
ti ringrazio x la risposta :)<br>
Saluti<br>
</body>
</html>