从 root 获取可疑文件警报电子邮件

tag-icon tag-icon linux shell
从 root 获取可疑文件警报电子邮件

我从 root 那里收到这些电子邮件

我收到了来自 root 的电子邮件,其中包含可疑文件警报以及此消息

File:   /tmp/installd/perl588installer/CPAN-SQLite-0.196/t/01basic.t
Reason: Script, starts with #!
Owner:  :
Action: No action taken



File:   /tmp/installd/perl588installer/cleanversion

File:   /tmp/installd/perl588installer/install.tdy

电视

ime: Wed Nov 18 19:23:45 2009 +1030
PID: 1600
Account: nobody
Uptime: 1805 seconds


Executable:

/usr/local/bin/perl


Command Line (often faked in exploits):

spamd child


Network connections by the process (if any):

tcp: 127.0.0.1:783 -> 0.0.0.0:0
tcp: 127.0.0.1:783 -> 127.0.0.1:36704


Files open by the process (if any):

/dev/null
/dev/null
/dev/null
/usr/local/bin/spamd
/usr/local/lib/perl5/site_perl/5.8.8/Mail/SpamAssassin/Plugin/VBounce.pm

这是正常的吗?或者有什么问题

编辑:

这是 lsof|grep '/tmp 的输出

root@cpanel [~]# root@cpanel [~]# lsof|grep '/tmp/installd'
root@cpanel [~]# root@cpanel [~]# lsof|grep '/tmp'

cpdavd     3310     root    0r   REG              0,216    16658  106111164 (deleted) /tmp/sh-thd-1258730813
httpd      4020   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd      7753   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd      7970   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     11989   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     21987   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     21988   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     24054   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     24315     root   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     26560   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     26562   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B
httpd     30318   nobody   33u   REG              0,216        0  106111145 (deleted) /tmp/ZCUD8EQE1B

答案1

您确定这些来自 root 吗?如果是 - root 是否在 /root 中有一个 .forward 文件,其中包含您的电子邮件地址?另外请(如果可以,请以超级用户身份执行此操作)查明您是否是任何软件的配置收件人。grep -R '[email protected]' /etc

通常,这种电子邮件是由 rkhunter 之类的软件发送的。samhain 与您的输出不太相似(但用法相似)。接下来我将使用“rkhunter”,但您可能有不同的软件。

如果您是该机器的 root 用户 - 检查 cron 条目中是否有您不知道的命令。很可能有人安装了 rkhunter,并以某种方式将您的地址配置为扫描结果的接收者。

如果您不是 root 用户 - 请将其中一些电子邮件转发到 root 用户或系统管理员的电子邮件中。

关于消息本身 - 这些可能是真正的威胁检测,但 rkhunter 很可能遗漏了一些排除项。此外,清理 /tmp 目录可能是安全的,可以消除前几个警告 - 那里应该没有什么有价值的东西。

答案2

任何时候文件被替换,CSF 都会认为这是可疑的。cPanel VPS 上的文件通常每天更新。

相关内容