Existe um lançamento oficial do Ubuntu que deve remover o processo nocivo do seu sistema: link
Basta fazer o download e instalar. Você pode precisar configurar o Apache novamente para fazer backups.
Estou rodando um servidor Ubuntu 14.04 LTS, com Apache2 e PHP 5.6.
Estou tentando encontrar a origem de um processo que está afetando um dos meus servidores.
Eu posso ver o processo em "top", ele é executado pelo usuário "www-data" e é identificado pelo COMMAND "vmak". É muito estranho e provavelmente é malicioso.
Eu incluí a lista de arquivos que o processo abriu abaixo. sudo lsof -p
Gostaria de saber se vocês poderiam me apontar algumas ferramentas que poderiam ser úteis para identificar a origem desse script, para que eu possa removê-lo ou colocá-lo em quarentena. Existem comandos que seriam úteis para encontrar a fonte desse processo?
Eu tentei um monte, incluindo pstree
. Qualquer ajuda seria muito apreciada.
Assim que eu mato o processo, ele é iniciado novamente.
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vmak 14645 www-data cwd DIR 8,0 4096 124901 /var/www
vmak 14645 www-data rtd DIR 8,0 4096 2 /
vmak 14645 www-data txt REG 8,0 2359872 36 /tmp/vmak (deleted)
vmak 14645 www-data mem REG 8,0 101240 8608 /lib/x86_64-linux-gnu/libresolv-2.19.so
vmak 14645 www-data mem REG 8,0 22952 11891 /lib/x86_64-linux-gnu/libnss_dns-2.19.so
vmak 14645 www-data mem REG 8,0 149120 8765 /lib/x86_64-linux-gnu/ld-2.19.so
vmak 14645 www-data mem REG 8,0 1857312 11893 /lib/x86_64-linux-gnu/libc-2.19.so
vmak 14645 www-data mem REG 8,0 43616 8605 /lib/x86_64-linux-gnu/libnss_files-2.19.so
vmak 14645 www-data 0r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 1w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 2w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 3r FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 4w FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 5u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 6r FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 7w FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 8u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 9r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 10u IPv4 2074160 0t0 TCP [FQDN-Edited-Out].com:53328->ramzansal5.example.com:3338 (ESTABLISHED)
Existe um lançamento oficial do Ubuntu que deve remover o processo nocivo do seu sistema: link
Basta fazer o download e instalar. Você pode precisar configurar o Apache novamente para fazer backups.