Eu tenho um processo em execução no meu servidor (CentOS 5.2) que está ocupando 99-100% da minha CPU. O comando ps revela o nome fakeproc da seguinte forma:
30571 ? R 3620:06 fakeproc
A execução na parte superior mostra que é um script perl associado a este processo:
30571 apache 25 0 6292 3044 1288 R 100 0.1 3621:44 perl
Eu tentei investigar, mas não obtive muita informação sobre a localização do script perl:
$ ps -p 30571 -o command
COMMAND
fakeproc
Tenho certeza de que tenho algum malware (um script perl de algum tipo) que está criando esse fakeproc, mas não tenho idéia de como localizá-lo ou como removê-lo.
Alguma idéia?
Primeiro, descubra quem está lançando o quê. O comando a seguir mostrará qual processo iniciou o script
ps xjf -C fakeproc
Você deve ser capaz de matar os processos relevantes usando
kill PID
Onde o PID é o ID do processo em questão. De acordo com este site e este , o que você está vendo pode ser malware.