получение электронных писем с предупреждениями о подозрительных файлах от root [closed]
я получаю эти письма от root
Я получаю письма от root с подозрительным файлом предупреждение с этим сообщением
File: /tmp/installd/perl588installer/CPAN-SQLite-0.196/t/01basic.t
Reason: Script, starts with #!
Owner: :
Action: No action taken
File: /tmp/installd/perl588installer/cleanversion
File: /tmp/installd/perl588installer/install.tdy
T
ime: Wed Nov 18 19:23:45 2009 +1030
PID: 1600
Account: nobody
Uptime: 1805 seconds
Executable:
/usr/local/bin/perl
Command Line (often faked in exploits):
spamd child
Network connections by the process (if any):
tcp: 127.0.0.1:783 -> 0.0.0.0:0
tcp: 127.0.0.1:783 -> 127.0.0.1:36704
Files open by the process (if any):
/dev/null
/dev/null
/dev/null
/usr/local/bin/spamd
/usr/local/lib/perl5/site_perl/5.8.8/Mail/SpamAssassin/Plugin/VBounce.pm
Это нормально ?? или что-то не так
Изменить:
Это результат lsof | grep '/ tmp
root@cpanel [~]# root@cpanel [~]# lsof|grep '/tmp/installd'
root@cpanel [~]# root@cpanel [~]# lsof|grep '/tmp'
cpdavd 3310 root 0r REG 0,216 16658 106111164 (deleted) /tmp/sh-thd-1258730813
httpd 4020 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 7753 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 7970 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 11989 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 21987 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 21988 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 24054 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 24315 root 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 26560 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 26562 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
httpd 30318 nobody 33u REG 0,216 0 106111145 (deleted) /tmp/ZCUD8EQE1B
Вы уверены, что они прибывают из корня? Если да - корень имеет .forward файл в корне / с Вашим адресом электронной почты в том файле? Также grep -R 'your@email.here' /etc (сделайте это как суперпользователя, если Вы можете) узнать, являетесь ли Вы настроенным получателем для какого-либо программного обеспечения.
Обычно этот вид электронных писем отправляется программным обеспечением как rkhunter. Менее подобный Вашему выводу (но подобный используемый) samhain. Далее на я буду использовать 'rkhunter', но у Вас может быть другое программное обеспечение.
Если Вы - корень в той машине - записи крона проверки для каких-либо команд, Вы не знаете. Скорее всего, кто-то установил rkhunter и так или иначе настроил Ваш адрес, чтобы быть получателем результатов сканирования.
Если Вы не корень - пересылают несколько из этой электронной почты для укоренения или электронная почта системного администратора.
Относительно самого сообщения - это могли быть подлинные обнаружения угрозы, но наиболее вероятный rkhunter пропускает несколько исключений. Кроме того, могло быть безопасно убрать/tmp каталог, избавиться от первых нескольких предупреждений - там не должно быть ничего ценного.
Каждый раз, когда файлы будут заменены, CSF будет думать, что это подозрительно. Файлы обычно обновляются ежедневно на cPanel VPS.
.
lsof| grep '/tmp'для наблюдения, сколько файлов в/tmp используется путем запущения программ. Если Вы не находитесь в процессе установки ничего, то удаление/tmp/installd/perl588installer/(или/tmp/installd/) должно быть безопасным. Сначала проверьте, не используется ли ни один из файлов от/tmp/installd путем запущения программ сlsof|grep '/tmp/installd', необходимо исследовать каждый отчет о входящей электронной почте и принять 1 из 2 мер: a) настройте CSF для игнорирования/добавления действительной программы, о которой сообщают в белый список, или b) удалите нежелательный компонент, о котором сообщают. Совершенно убедитесь, что Вы делаете. – chronos 21 November 2009 в 01:27