Como impedir que um processo Linux desonesto seja iniciado novamente

Navegue suas respostas
0

Estou rodando um servidor Ubuntu 14.04 LTS, com Apache2 e PHP 5.6.

Estou tentando encontrar a origem de um processo que está afetando um dos meus servidores.

Eu posso ver o processo em "top", ele é executado pelo usuário "www-data" e é identificado pelo COMMAND "vmak". É muito estranho e provavelmente é malicioso.

Eu incluí a lista de arquivos que o processo abriu abaixo. sudo lsof -p

Gostaria de saber se vocês poderiam me apontar algumas ferramentas que poderiam ser úteis para identificar a origem desse script, para que eu possa removê-lo ou colocá-lo em quarentena. Existem comandos que seriam úteis para encontrar a fonte desse processo?

Eu tentei um monte, incluindo pstree . Qualquer ajuda seria muito apreciada.

Assim que eu mato o processo, ele é iniciado novamente. 

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vmak 14645 www-data cwd DIR 8,0 4096 124901 /var/www
vmak 14645 www-data rtd DIR 8,0 4096 2 /
vmak 14645 www-data txt REG 8,0 2359872 36 /tmp/vmak (deleted)
vmak 14645 www-data mem REG 8,0 101240 8608 /lib/x86_64-linux-gnu/libresolv-2.19.so
vmak 14645 www-data mem REG 8,0 22952 11891 /lib/x86_64-linux-gnu/libnss_dns-2.19.so
vmak 14645 www-data mem REG 8,0 149120 8765 /lib/x86_64-linux-gnu/ld-2.19.so
vmak 14645 www-data mem REG 8,0 1857312 11893 /lib/x86_64-linux-gnu/libc-2.19.so
vmak 14645 www-data mem REG 8,0 43616 8605 /lib/x86_64-linux-gnu/libnss_files-2.19.so
vmak 14645 www-data 0r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 1w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 2w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 3r FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 4w FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 5u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 6r FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 7w FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 8u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 9r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 10u IPv4 2074160 0t0 TCP [FQDN-Edited-Out].com:53328->ramzansal5.example.com:3338 (ESTABLISHED)
    
por user1732920 01.05.2018 / 16:25

1 resposta

-1

Existe um lançamento oficial do Ubuntu que deve remover o processo nocivo do seu sistema: link

Basta fazer o download e instalar. Você pode precisar configurar o Apache novamente para fazer backups.

    
por 01.05.2018 / 17:05

Tags

Como se conectar ao VMware por trás do NAT, de outra máquina localizada na LAN? Por que meu disco “H” está marcado como ativo no Gerenciador de discos?