На своем шлюзе под FreeBSD 6.0 (squid, natd) я обнаружил в каталоге /tmp следующие файлы:
fx.pl
Fx112.txt
cmdtempСодержимое fx.pl:
########################################
## FeeLCoMz RFI Scanner Bot v4.9 ##
## By FaTaLisTiCz_Fx ##
## © Agu-Nov 2008, FeeLCoMz Community ##
########################################
');
######################################################
## Usage: ##
## perl feelscanz.pl <chan w/o #> <server> <port> ##
## Notes: ##
## + All Parameters are optional ##
## ##
## Features: ##
## + RFI Scanner ##
## + RFI Scan & Exploit (Exploit per engine) ##
## + Joomla RFI Scan & Exploit ##
## + Milw0rm Search ##
## + Google bypass (Using PHP) ##
## + Message Spy & Save ##
######################################################
## History:
## + Fixed cryptz command (v4.5)
## + Fixed user commands execution by unauthorized user (v4.6)
## + Added options to enable/disable encrypted password (v4.7)
## + Fixed missing hostname on sublink (v4.8)
## + Added links filter to exclude exploiting bad links (v4.9)
use strict;
use IO::Socket::INET;
use LWP::UserAgent;
use HTTP::Request;
my $versi = "v4.9";
my $cmdpre = "."; #Command Prefix
##[ KONFIGURASI URL ]##
my $fx29id = "http://gumansin.com/id.txt?"; #Fx29ID (Simple) / (Advanced)
my $fx29id2 = "http://gumansin.com/id2.txt?"; #Fx29ID (Advanced)
my $fx29sh = "http://gumansin.com/enjoy.txt?"; #Fx29Sh (Optional)
my $bypass = "http://www.chambersbandb.com/Guestbook//public/upload/google... #Google Bypasserz (Optional)
и т.д.
Fx112.txt:
segue.middlebury.edu/
segue.middlebury.edu/
segue.middlebury.edu/index.php%253F%2526site%253DET%2526section%253D421%2526action%253Dsite/
https%3a/
https%3a/segue1.middlebury.edu/
segue.atlas.uiuc.edu/
www.okiproject.org/
www.okiproject.org/view/
www.okiproject.org/view/html/
www.okiproject.org/view/html/site/ и т.д.
cmdtemp:
########################################
## FeeLCoMz RFI Scanner Bot v4.9 ##
## By FaTaLisTiCz_Fx ##
## © Agu-Nov 2008, FeeLCoMz Community ##
########################################
В списке процессов я увидел:
955 ?? RE 0:00,00 [perl5.8.8]
1006 ?? I 0:00,01 perl fx.pl (perl5.8.8)
1045 ?? I 0:00,15 perl fx.pl (perl5.8.8)
1170 ?? S 0:00,00 perl fx.pl (perl5.8.8)
1171 ?? S 0:00,00 perl fx.pl (perl5.8.8)
1172 ?? S 0:00,00 perl fx.pl (perl5.8.8)
1173 ?? S 0:00,00 perl fx.pl (perl5.8.8)
1174 ?? RE 0:00,02 [perl5.8.8]
1175 ?? RE 0:00,02 [perl5.8.8]
1176 ?? RE 0:00,02 [perl5.8.8]
1177 ?? RE 0:00,01 [perl5.8.8]
1178 ?? RE 0:00,02 [perl5.8.8]
1179 ?? RE 0:00,01 [perl5.8.8]
1180 ?? RE 0:00,02 [perl5.8.8]
1181 ?? RE 0:00,02 [perl5.8.8]
1182 ?? RE 0:00,01 [perl5.8.8]
1183 ?? RE 0:00,01 [perl5.8.8]
1184 ?? RE 0:00,01 [perl5.8.8]
1185 ?? RE 0:00,01 [perl5.8.8]
1186 ?? RE 0:00,01 [perl5.8.8]
1187 ?? RE 0:00,01 [perl5.8.8]
1188 ?? S 0:00,00 perl fx.pl (perl5.8.8)
1189 ?? RE 0:00,02 [perl5.8.8]
1190 ?? RE 0:00,02 [perl5.8.8]
1191 ?? RE 0:00,03 [perl5.8.8]
1192 ?? RE 0:00,02 [perl5.8.8]
Количество процессов perl5.8.8 со временем увеличивается , загрузка процессора достигает 90% и сервер зависает.
Удаление вышеперечисленных файлов и перезагрузка не помогают.
Как с этим бороться?