Beste WHT-leden,
Door een brakke Joomla website, heb ik nu te maken met een verdacht proces wat meerdere keren per dag gestart wordt..
Rootkit hunter, maldet, clamav etc. gedraaid (en wel verdachte bestanden gevonden, in quarantaine/deleted) etc.
Echter kan ik niet traceren waar het probleem vandaan komt. Mijn kennis is te gering ... Onderhoud wordt normaal door externe partij gedaan, echter is hij momenteel niet beschikbaar..
Het betreft een mailer, welke via perl wordt gestart.
Zodra ik een lsof -i | grep smtp uitvoer, staat hier normaal gesproken alleen Exim.
Het lijkt er sterk op dat het script geiniteerd wordt middels een backdoor; Poort 39331 wordt geopend en het script begint als een gek te mailen en wordt de lijst gevuld met diverse mail connecties.
Helaas via de proc info te weinig informatie om te zien welk bestand er nou wordt aangeroepen etc...
De machine draait op Debian (DirectAdmin); concreet ben ik op zoek naar een Linux goeroe die dit probleem kan verhelpen, of kan aangeven dat het niet meer te verhelpen is en het beter is om de websites over te zetten en een clean install te doen b.v. (en dit bv ook kan uitvoeren)
Reacties mogen via PM of laat je mailadres achter, dan zal ik een reactie per mail geven!
Eventuele tips waar ik zelf nog zou kunnen zoeken, vind ik ook prima.. Leer graag :-)
Thanks!
gr. Niels