我有一台运行Centos 4的WHM服务器(是的,我知道它刚刚变得不受支持)所有更新都已安装,一切似乎都是最新的。 在2011年12月,一个服务器所有者,其上有50个网站,他的计算机被感染,病毒/木马读取他的FTP保存密码,然后通过ftp登录并修改了它可以找到的所有index.php文件,我们虽然我们全部清除。
问题如下,他们以某种方式使用Apache发起的perl脚本发送电子邮件我需要一种方法来找出他们正在触发的脚本的路径,在“ps”中它只显示作为“perl”,当检查perl脚本打开的文件时,它会列出所有apache vhost日志,apache错误日志和/ dev / null。
我需要一种方法来找出发送电子邮件的脚本的路径,服务器现在两次被垃圾邮件列入CBL,“手动”搜索它不是一个选项,因为那里有超过200个网站在服务器上占用超过100GB的空间。
服务器它没有受到损害,唯一的问题是我找不到发送垃圾邮件的脚本。
答案 0 :(得分:4)
您可以尝试从/ proc目录中找出它
获取正在运行的perl进程的PID,然后检查
/ proc / PID / cwd,它将是脚本当前工作目录的符号链接
检查
/ proc / PID / cmdline,它将包含正在运行的进程的完整命令行
(在这两种情况下都用过程的pid替换PID)
免责声明:我正在使用我的linux机器,因此完全有可能您的文件系统布局不同
答案 1 :(得分:1)
在大多数unix系统上,ps只显示命令名称,但
ps -ef
将显示完整路径。 Ps与unix和unix不同。如果这不起作用,请尝试
man ps
并查找“完整”或“完整格式”。希望这会有所帮助。
答案 2 :(得分:0)