Programación Web y Scripting > Perl
Qué hace esto?
(1/1)
RadicalEd:
Hola chicos de SoloCodigo, estoy viendo que el servidor Web de la empresa últimamente ha estado muy lento en cuanto a velocidad para Internet, me he puesto a buscar cosas raras y en el crontab encontré un archivo llamado tempdelete.pl, el archivo tiene esto
--- Código: Perl ---#!/usr/bin/perlopen(CONF, "/etc/webmin/miniserv.conf");while(<CONF>) { $root = $1 if (/^root=(.*)/); }close(CONF);$ENV{'WEBMIN_CONFIG'} = "/etc/webmin";$ENV{'WEBMIN_VAR'} = "/var/webmin";chdir("$root/cron");exec("$root/cron/tempdelete.pl", @ARGV) || die "Failed to run $root/cron/tempdelete.pl : $!"; Al mirar lo que tiene el miniserv.conf veo que en una de sus partes llama al /etc/shadow, me podrían decir que está tratando de hacer este tempdelete.pl
su -:
1. Es el "hasbang".
2. Abre el fichero /etc/webmin/miniserv.conf (solo lectura).
3. Cuando lea una linea del fichero...
4. $root (que es una variable) es igual a todo el contenido que hay despues de "root=" en el fichero (miniserv.conf).
6. Cierra el fichero.
7. Agrega al entorno de ejecucion la variable WEBMIN_CONFIG="/etc/webmin" (es como hacer un export en shell).
8. Agrega al entorno de ejecucion la variable WEBMIN_VAR="/var/webmin".
9. Cambia de directorio a $root/cron.
10. Ejecuta a $root/cron/tempdelete.pl con los mismos argumento que el script fue ejecutado.
$root/cron/tempdelete.pl debe de borrar todos los archivos temporales que tengan mas de 7 dias de existencia.
RadicalEd:
Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
su -:
--- Cita de: "Edo" ---Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
--- Fin de la cita ---
El script es de Virtualmin... aunque puede ser un rootkit...
Estudia miniserv.conf
Mira los logs del sistema.
Instala y ejecuta chrootkit o rkhunter.
Estudia la salida de netstat... a ver si hay algo raro...
Elimina lo que hay en /tmp
Navegación
Ir a la versión completa