Я работаю с скомпрометированным сервером Ubuntu 8.04 Plesk 9.5.4. Кажется, что скрипт на сервере постоянно выполняет обратный поиск случайных IP-адресов в Интернете.

Я впервые заметил это во время использования top и затем заметил вспышки этого, идущие непрерывно: sh -c host -W 1 '198.204.241.10'

Я написал этот скрипт для допроса ps Каждую 1 секунду, чтобы увидеть, как часто этот сценарий происходит:

#!/bin/bash
while :
do
    ps -ef | egrep -i "sh -c host"
    sleep 1
done

В результате этот скрипт запускается часто каждые несколько секунд:

www-data 17762  8332  1 10:07 ?        00:00:00 sh -c host -W 1 '59.58.139.134'
www-data 17772  8332  1 10:07 ?        00:00:00 sh -c host -W 1 '59.58.139.134'
www-data 17879 17869  0 10:07 ?        00:00:00 sh -c host -W 1 '198.204.241.10'
www-data 17879 17869  1 10:07 ?        00:00:00 sh -c host -W 1 '198.204.241.10'
www-data 17879 17869  0 10:07 ?        00:00:00 sh -c host -W 1 '198.204.241.10'
root     18031 17756  0 10:07 pts/2    00:00:00 egrep -i sh -c host
www-data 18078 16704  0 10:07 ?        00:00:00 sh -c host -W 1 '59.58.139.134'
www-data 18125 17996  0 10:07 ?        00:00:00 sh -c host -W 1 '91.124.51.65'
root     18131 17756  0 10:07 pts/2    00:00:00 egrep -i sh -c host
www-data 18137 17869  0 10:07 ?        00:00:00 sh -c host -W 1 '198.204.241.10'
www-data 18137 17869  1 10:07 ?        00:00:00 sh -c host -W 1 '198.204.241.10'

Моя теория, если я могу видеть, кто запускает sh процесс или форма, где он запущен, я могу выделить проблему дальше.

Может кто-нибудь, пожалуйста, направьте меня, используя netstat или же ps определить откуда sh запускается?

Я мог бы получить много предположений о том, что ОС устарела, и поэтому Plesk, но, пожалуйста, имейте в виду, что есть несколько очень конкретных причин, по которым этот сервер использует устаревшее программное обеспечение. Мой вопрос направлен на продвинутых системных администраторов Linux, которые имеют глубокий опыт работы с нарушениями безопасности и использования netstat а также ps докопаться до сути.

ОБНОВЛЕНИЕ 26 окт. 14:01

Команда grep -lr 'sh -c host' оставленный в комментариях, оставленных @ramruma, помог мне быстро найти соответствующий веб-сайт, на котором запущен скрипт. Как оказалось, сервер не скомпрометирован. Вместо этого в этом месте есть форум, созданный Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC, который выполняет обратный поиск каждый раз, когда кто-то обращается к доске.

Также оказывается, что форум не поддерживается и сильно спамит, и почему мы изначально думали, что он скомпрометирован, потому что многие обратные поиски указывали на иностранные IP-адреса, известные как спам. Боже мой знает только, как веб-сайт может выполнить эту команду, но пока я собираюсь закрыть вопрос как безвредный.

Что касается общих ответов, которые я получил о "восстановлении из резервной копии", я пришел на ServerFault, чтобы помочь локализовать проблему, и я ясно дал понять в своем первоначальном запросе. Иногда восстановление из резервной копии нецелесообразно или даже невозможно. Лучше выяснить проблему или найти компромисс на случай, если он может возникнуть в будущем.