https://opennet.ru/openforum/vsluhforumID1/96899.html Доброго дня.<br>Сервер с debian с недавних пор появились процессы спамящие в почту, но вот найти исполняемый файл скрипта никак не получается.<br><br>$lsof &#124; grep 14008<br>bash 14008 www-data cwd DIR 9,1 4096 2 /<br>bash 14008 www-data rtd DIR 9,1 4096 2 /<br>bash 14008 www-data txt REG 9,1 10416 922609 /usr/bin/perl<br>bash 14008 www-data mem REG 9,1 27104 922618 /usr/lib/perl/5.18.2/auto/File/Glob/Glob.so<br>bash 14008 www-data mem REG 9,1 85232 922616 /usr/lib/perl/5.18.2/auto/POSIX/POSIX.so<br>bash 14008 www-data mem REG 9,1 18632 922612 /usr/lib/perl/5.18.2/auto/Fcntl/Fcntl.so<br>bash 14008 www-data mem REG 9,1 43416 922620 /usr/lib/perl/5.18.2/auto/Socket/Socket. https://opennet.ru/openforum/vsluhforumID1/96899.html#4 Tue, 30 May 2017 07:08:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt; xEXE: /usr/bin/perl <br>&gt;&gt; <br>&gt;&gt; x <br>&gt;&gt; xROOT: / <br>&gt;&gt; <br>&gt;&gt; <br>&gt;&gt; x <br>&gt;&gt; xCWD: / <br>&gt;&gt; Как найти виновника "торжества"?<br>&gt; auditd/systemtap <br><br>Судя по описанию - то что надо. Но, не могу разобраться как с этим работать. Какое правило создать что бы записать логи процесса, или пользователя.<br><br>добавил такое:<br>-a exit,always -S open -F loginuid=33<br><br>Правда при рестарте выдает варнинг:<br>WARNING - 32/64 bit syscall mismatch in line 15, you should specify an arch<br><br>И в логах не появляется интересующий процесс.<br>ausearch -p 14008 --raw &#124; aureport -f -i<br>File Report<br>===============================================<br># date time file syscall success exe auid event<br>===============================================<br>&lt;no events of interest were found&gt;<br><br> https://opennet.ru/openforum/vsluhforumID1/96899.html#3 Tue, 30 May 2017 03:18:56 GMT &gt;&gt; www-data <br>&gt; апач?<br>&gt; мониторинг какойнить?<br><br>Да подломили и затроянили его, вот и всё.<br> https://opennet.ru/openforum/vsluhforumID1/96899.html#2 Mon, 29 May 2017 17:33:50 GMT <br>&gt; www-data <br><br>апач?<br>мониторинг какойнить?<br> https://opennet.ru/openforum/vsluhforumID1/96899.html#1 Mon, 29 May 2017 15:30:21 GMT &gt;[оверквотинг удален]<br>&gt; x <br>&gt; xEXE: /usr/bin/perl <br>&gt; <br>&gt; x <br>&gt; xROOT: / <br>&gt; <br>&gt; <br>&gt; x <br>&gt; xCWD: / <br>&gt; Как найти виновника "торжества"?<br><br>auditd/systemtap<br>