[Comm] Re: Взлом?

[Алексей Данилович]

Michael Shigorin пишет:

>>после убийства этого процесса коннекты пропали....
> 
> 
> Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID 
> и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/).
> 

Хм... спасибо, попробую. Я как раз думал, как бы взглянуть на то, что 
именно запустилось. В продолжении темы.
Причиной проверки "по факту", выявившей данную ситуацию, явилась жалоба, 
на то, что не отправляется почта.... Обнаружилось крайнее засорение 
почтовой очереди. По логам лезло огромное число записей типа
from=<> .... и т.д. то есть без указания как адреса отправителя, так и 
ip. В каком случае могут образовываться такие записи? Только если письма 
формируются напрямую с сервера? есть подозрение, что эта вползшая 
гадость пыталась спам рассылать.....
-- 

       WBR,
Alexey Danilovich