Bonjour à tous,

Un processus suspect tourne sur un de mes serveurs web, ci-dessous la sortie de la commande ps:

Code : Sélectionner tout - Visualiser dans une fenêtre à part
tomcat    7538  0.0  0.0 128428  3692 ?        S    Nov27   0:06 /usr/sbin/apache2 -k start
Cet exécutable n'existe pas:

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
ll /usr/sbin/apache2
ls: cannot access /usr/sbin/apache2: No such file or directory
On peut voir que c'est un processus PERL:

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
lsof -w -n -p 7538
 
COMMAND  PID   USER   FD   TYPE     DEVICE SIZE/OFF       NODE NAME
perl    7538 tomcat  cwd    DIR      253,3   442368          2 /tmp
perl    7538 tomcat  rtd    DIR      253,1     4096          2 /
perl    7538 tomcat  txt    REG      253,1    13296    1050374 /usr/bin/perl
perl    7538 tomcat  mem    REG      253,1   161704     784316 /lib64/ld-2.12.so
perl    7538 tomcat  mem    REG      253,1  1930416     784748 /lib64/libc-2.12.so
perl    7538 tomcat  mem    REG      253,1   146592     784774 /lib64/libpthread-2.12.so
perl    7538 tomcat  mem    REG      253,1    23088     784827 /lib64/libdl-2.12.so
perl    7538 tomcat  mem    REG      253,1   600048     784828 /lib64/libm-2.12.so
perl    7538 tomcat  mem    REG      253,1   116904     783510 /lib64/libnsl-2.12.so
perl    7538 tomcat  mem    REG      253,1   114496     784839 /lib64/libresolv-2.12.so
perl    7538 tomcat  mem    REG      253,1    18056     783609 /lib64/libutil-2.12.so
perl    7538 tomcat  mem    REG      253,1    12776     784846 /lib64/libfreebl3.so
perl    7538 tomcat  mem    REG      253,1    43928     784848 /lib64/libcrypt-2.12.so
perl    7538 tomcat  mem    REG      253,1  1488544    1176049 /usr/lib64/perl5/CORE/libperl.so
perl    7538 tomcat  mem    REG      253,1    25624       1927 /usr/lib64/perl5/auto/Socket/Socket.so
perl    7538 tomcat  mem    REG      253,1    19336       1727 /usr/lib64/perl5/auto/IO/IO.so
perl    7538 tomcat  mem    REG      253,1 99164480    1061313 /usr/lib/locale/locale-archive
perl    7538 tomcat    0r  FIFO        0,8      0t0 2736075360 pipe
perl    7538 tomcat    1w  FIFO        0,8      0t0 2736075361 pipe
perl    7538 tomcat    2w  FIFO        0,8      0t0 2736075362 pipe
perl    7538 tomcat    3u  IPv4 2781849399      0t0        TCP xxx:60398->119.68.205.1:smtp (SYN_SENT)
Cela m'était déjà arrivé la semaine dernière, j'avais donc bloqué l'IP en entrée/sortie (ce qui explique le SYN_SENT).

Comment trouver ce qui lance ce processus, étant donné que l'IP est bloquée...

Merci à tous !