Execute pstree -p | less
para obter uma lista completa dos processos em execução no sistema, pesquise por 26098
e veja quem é seu pai, depois o avô, etc. Em algum lugar dessa árvore está sua resposta.
Um site wordpress comprometido iniciou vários processos que são executados como o usuário do apache. Eu posso encontrar esses processos executando ps e greping para o usuário do apache. Então eu pego um dos IDs do processo e executo lsof contra ele para ver que ele abriu um monte de sockets tcp para enviar e-mail para vários destinatários, mas não vejo o arquivo real que é a raiz de tudo isso. Como posso detalhar mais para descobrir como tudo isso está sendo iniciado? Aqui está um exemplo de um dos processos:
~# lsof | grep 26098
/sbin/ude 26098 www-data cwd DIR 252,0 4096 2 /
/sbin/ude 26098 www-data rtd DIR 252,0 4096 2 /
/sbin/ude 26098 www-data txt REG 252,0 10376 150473 /usr/bin/perl
/sbin/ude 26098 www-data mem REG 252,0 22880 143572 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so
/sbin/ude 26098 www-data mem REG 252,0 35176 143571 /usr/lib/perl/5.14.2/auto/Socket/Socket.so
/sbin/ude 26098 www-data mem REG 252,0 18632 143564 /usr/lib/perl/5.14.2/auto/IO/IO.so
/sbin/ude 26098 www-data mem REG 252,0 105720 143562 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so
/sbin/ude 26098 www-data mem REG 252,0 18600 143570 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so
/sbin/ude 26098 www-data mem REG 252,0 2919792 137135 /usr/lib/locale/locale-archive
/sbin/ude 26098 www-data mem REG 252,0 43288 1329383 /lib/x86_64-linux-gnu/libcrypt-2.15.so
/sbin/ude 26098 www-data mem REG 252,0 135366 1329380 /lib/x86_64-linux-gnu/libpthread-2.15.so
/sbin/ude 26098 www-data mem REG 252,0 1030512 1329394 /lib/x86_64-linux-gnu/libm-2.15.so
/sbin/ude 26098 www-data mem REG 252,0 14768 1329387 /lib/x86_64-linux-gnu/libdl-2.15.so
/sbin/ude 26098 www-data mem REG 252,0 1815224 1329389 /lib/x86_64-linux-gnu/libc-2.15.so
/sbin/ude 26098 www-data mem REG 252,0 1558296 143547 /usr/lib/libperl.so.5.14.2
/sbin/ude 26098 www-data mem REG 252,0 149280 1329381 /lib/x86_64-linux-gnu/ld-2.15.so
/sbin/ude 26098 www-data 0r CHR 1,3 0t0 5014 /dev/null
/sbin/ude 26098 www-data 1w CHR 1,3 0t0 5014 /dev/null
/sbin/ude 26098 www-data 2w CHR 1,3 0t0 5014 /dev/null
/sbin/ude 26098 www-data 3u IPv4 51672921 0t0 TCP 172.24.14.51:51017->10.81.54.194:smtp (SYN_SENT)
/sbin/ude 26098 www-data 4w FIFO 0,8 0t0 33237048 pipe
/sbin/ude 26098 www-data 5r FIFO 0,8 0t0 33237049 pipe
/sbin/ude 26098 www-data 6w FIFO 0,8 0t0 33237073 pipe
/sbin/ude 26098 www-data 7r FIFO 0,8 0t0 33237074 pipe
Execute pstree -p | less
para obter uma lista completa dos processos em execução no sistema, pesquise por 26098
e veja quem é seu pai, depois o avô, etc. Em algum lugar dessa árvore está sua resposta.
Eu não consegui encontrar uma maneira de detectar a fonte, mas no meu caso o bot foi descoberto pelo clamav e estava no diretório / var / tmp.