Announcement

Collapse
No announcement yet.

strange processes in process manager

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • strange processes in process manager

    hello, i found these 2 process in the process manager the first one running by user and the second one running by root, does that means my server is compromised ?



    === first task running by cpaneluser although it doesn't has ssh access

    find /home/cpaneluser/public_html/wp-content ( ( ( ( -type f ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 004 ) -o ( -perm 040 ) -o ( -perm 044 ) -o ( -perm 200 ) -o ( -perm 204 ) -o ( -perm 240 ) -o ( -perm 244 ) -o ( -perm 400 ) -o ( -perm 404 ) -o ( -perm 440 ) -o ( -perm 444 ) -o ( -perm 600 ) -o ( -perm 604 ) -o ( -perm 640 ) -o ( -perm 644 ) ) ) ) ) -o ( ( ( -type d ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 001 ) -o ( -perm 004 ) -o ( -perm 005 ) -o ( -perm 010 ) -o ( -perm 011 ) -o ( -perm 014 ) -o ( -perm 015 ) -o ( -perm 040 ) -o ( -perm 041 ) -o ( -perm 044 ) -o ( -perm 045 ) -o ( -perm 050 ) -o ( -perm 051 ) -o ( -perm 054 ) -o ( -perm 055 ) -o ( -perm 100 ) -o ( -perm 101 ) -o ( -perm 104 ) -o ( -perm 105 ) -o ( -perm 110 ) -o ( -perm 111 ) -o ( -perm 114 ) -o ( -perm 115 ) -o ( -perm 140 ) -o ( -perm 141 ) -o ( -perm 144 ) -o ( -perm 145 ) -o ( -perm 150 ) -o ( -perm 151 ) -o ( -perm 154 ) -o ( -perm 155 ) -o ( -perm 200 ) -o ( -perm 201 ) -o ( -perm 204 ) -o ( -perm 205 ) -o ( -perm 210 ) -o ( -perm 211 ) -o ( -perm 214 ) -o ( -perm 215 ) -o ( -perm 240 ) -o ( -perm 241 ) -o ( -perm 244 ) -o ( -perm 245 ) -o ( -perm 250 ) -o ( -perm 251 ) -o ( -perm 254 ) -o ( -perm 255 ) -o ( -perm 300 ) -o ( -perm 301 ) -o ( -perm 304 ) -o ( -perm 305 ) -o ( -perm 310 ) -o ( -perm 311 ) -o ( -perm 314 ) -o ( -perm 315 ) -o ( -perm 340 ) -o ( -perm 341 ) -o ( -perm 344 ) -o ( -perm 345 ) -o ( -perm 350 ) -o ( -perm 351 ) -o ( -perm 354 ) -o ( -perm 355 ) -o ( -perm 400 ) -o ( -perm 401 ) -o ( -perm 404 ) -o ( -perm 405 ) -o ( -perm 410 ) -o ( -perm 411 ) -o ( -perm 414 ) -o ( -perm 415 ) -o ( -perm 440 ) -o ( -perm 441 ) -o ( -perm 444 ) -o ( -perm 445 ) -o ( -perm 450 ) -o ( -perm 451 ) -o ( -perm 454 ) -o ( -perm 455 ) -o ( -perm 500 ) -o ( -perm 501 ) -o ( -perm 504 ) -o ( -perm 505 ) -o ( -perm 510 ) -o ( -perm 511 ) -o ( -perm 514 ) -o ( -perm 515 ) -o ( -perm 540 ) -o ( -perm 541 ) -o ( -perm 544 ) -o ( -perm 545 ) -o ( -perm 550 ) -o ( -perm 551 ) -o ( -perm 554 ) -o ( -perm 555 ) -o ( -perm 600 ) -o ( -perm 601 ) -o ( -perm 604 ) -o ( -perm 605 ) -o ( -perm 610 ) -o ( -perm 611 ) -o ( -perm 614 ) -o ( -perm 615 ) -o ( -perm 640 ) -o ( -perm 641 ) -o ( -perm 644 ) -o ( -perm 645 ) -o ( -perm 650 ) -o ( -perm 651 ) -o ( -perm 654 ) -o ( -perm 655 ) -o ( -perm 700 ) -o ( -perm 701 ) -o ( -perm 704 ) -o ( -perm 705 ) -o ( -perm 710 ) -o ( -perm 711 ) -o ( -perm 714 ) -o ( -perm 715 ) -o ( -perm 740 ) -o ( -perm 741 ) -o ( -perm 744 ) -o ( -perm 745 ) -o ( -perm 750 ) -o ( -perm 751 ) -o ( -perm 754 ) -o ( -perm 755 ) ) ) ) ) ) -print -quit

    === second task running by root

    sudo -E -u cpaneluser cagefs_enter.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content '(' '(' '(' '(' -type f ')' '(' -user cpaneluser ')' '(' '!' '(' '(' -perm 000 ')' -o '(' -perm 004 ')' -o '(' -perm 040 ')' -o '(' -perm 044 ')' -o '(' -perm 200 ')' -o '(' -perm 204 ')' -o '(' -perm 240 ')' -o '(' -perm 244 ')' -o '(' -perm 400 ')' -o '(' -perm 404 ')' -o '(' -perm 440 ')' -o '(' -perm 444 ')' -o '(' -perm 600 ')' -o '(' -perm 604 ')' -o '(' -perm 640 ')' -o '(' -perm 644 ')' ')' ')' ')' ')' -o '(' '(' '(' -type d ')' '(' -user cpaneluser ')' '(' '!' '(' '(' -perm 000 ')' -o '(' -perm 001 ')' -o '(' -perm 004 ')' -o '(' -perm 005 ')' -o '(' -perm 010 ')' -o '(' -perm 011 ')' -o '(' -perm 014 ')' -o '(' -perm 015 ')' -o '(' -perm 040 ')' -o '(' -perm 041 ')' -o '(' -perm 044 ')' -o '(' -perm 045 ')' -o '(' -perm 050 ')' -o '(' -perm 051 ')' -o '(' -perm 054 ')' -o '(' -perm 055 ')' -o '(' -perm 100 ')' -o '(' -perm 101 ')' -o '(' -perm 104 ')' -o '(' -perm 105 ')' -o '(' -perm 110 ')' -o '(' -perm 111 ')' -o '(' -perm 114 ')' -o '(' -perm 115 ')' -o '(' -perm 140 ')' -o '(' -perm 141 ')' -o '(' -perm 144 ')' -o '(' -perm 145 ')' -o '(' -perm 150 ')' -o '(' -perm 151 ')' -o '(' -perm 154 ')' -o '(' -perm 155 ')' -o '(' -perm 200 ')' -o '(' -perm 201 ')' -o '(' -perm 204 ')' -o '(' -perm 205 ')' -o '(' -perm 210 ')' -o '(' -perm 211 ')' -o '(' -perm 214 ')' -o '(' -perm 215 ')' -o '(' -perm 240 ')' -o '(' -perm 241 ')' -o '(' -perm 244 ')' -o '(' -perm 245 ')' -o '(' -perm 250 ')' -o '(' -perm 251 ')' -o '(' -perm 254 ')' -o '(' -perm 255 ')' -o '(' -perm 300 ')' -o '(' -perm 301 ')' -o '(' -perm 304 ')' -o '(' -perm 305 ')' -o '(' -perm 310 ')' -o '(' -perm 311 ')' -o '(' -perm 314 ')' -o '(' -perm 315 ')' -o '(' -perm 340 ')' -o '(' -perm 341 ')' -o '(' -perm 344 ')' -o '(' -perm 345 ')' -o '(' -perm 350 ')' -o '(' -perm 351 ')' -o '(' -perm 354 ')' -o '(' -perm 355 ')' -o '(' -perm 400 ')' -o '(' -perm 401 ')' -o '(' -perm 404 ')' -o '(' -perm 405 ')' -o '(' -perm 410 ')' -o '(' -perm 411 ')' -o '(' -perm 414 ')' -o '(' -perm 415 ')' -o '(' -perm 440 ')' -o '(' -perm 441 ')' -o '(' -perm 444 ')' -o '(' -perm 445 ')' -o '(' -perm 450 ')' -o '(' -perm 451 ')' -o '(' -perm 454 ')' -o '(' -perm 455 ')' -o '(' -perm 500 ')' -o '(' -perm 501 ')' -o '(' -perm 504 ')' -o '(' -perm 505 ')' -o '(' -perm 510 ')' -o '(' -perm 511 ')' -o '(' -perm 514 ')' -o '(' -perm 515 ')' -o '(' -perm 540 ')' -o '(' -perm 541 ')' -o '(' -perm 544 ')' -o '(' -perm 545 ')' -o '(' -perm 550 ')' -o '(' -perm 551 ')' -o '(' -perm 554 ')' -o '(' -perm 555 ')' -o '(' -perm 600 ')' -o '(' -perm 601 ')' -o '(' -perm 604 ')' -o '(' -perm 605 ')' -o '(' -perm 610 ')' -o '(' -perm 611 ')' -o '(' -perm 614 ')' -o '(' -perm 615 ')' -o '(' -perm 640 ')' -o '(' -perm 641 ')' -o '(' -perm 644 ')' -o '(' -perm 645 ')' -o '(' -perm 650 ')' -o '(' -perm 651 ')' -o '(' -perm 654 ')' -o '(' -perm 655 ')' -o '(' -perm 700 ')' -o '(' -perm 701 ')' -o '(' -perm 704 ')' -o '(' -perm 705 ')' -o '(' -perm 710 ')' -o '(' -perm 711 ')' -o '(' -perm 714 ')' -o '(' -perm 715 ')' -o '(' -perm 740 ')' -o '(' -perm 741 ')' -o '(' -perm 744 ')' -o '(' -perm 745 ')' -o '(' -perm 750 ')' -o '(' -perm 751 ')' -o '(' -perm 754 ')' -o '(' -perm 755 ')' ')' ')' ')' ')' ')' -print -quit

  • #2
    Hello,

    Those processes are suspicious and for sure the cpaneluser is not any kind of defafult user. Definitely someone is trying to scan the directories for different permissions, however, only inside it's own public_html/wp-content directory.

    I'm wondering how possible to do it without ssh, maybe it's some kind of cronjob for it? I doubt the processes are still there, but would be interesting to see the process tree with something like:
    Code:
    ps axjf | grep -10 cpaneluser

    Comment

    Working...
    X