como localizar detalhes de processos suspeitos e seus argumentos de linha de comando

3

No meu servidor Linux, estou recebendo um processo perl suspeito, que está tentando enviar spam do meu servidor, usando um script perl. Aqui está a saída ps -aux .

apache     10078  0.0  0.0   4028   705 pts/1    S+   15:50   0:00 [perl]
apache     10079  0.0  0.0   4023   433 pts/1    S+   15:50   0:00 [perl]
apache     10080  0.0  0.0   4024   432 pts/1    S+   15:50   0:00 [perl]
.
.
.

Existem mais de 20 desses processos sendo executados e cada um deles está consumindo muitos Sockets.

incapaz de encontrar a localização, o caminho e os detalhes do script como seu "perl" ali escrito. Eu tentei usar lsof para ver seus arquivos abertos, ele mostra um grande número de sockets e arquivos abertos por um site hospedado no meu servidor. mas eu não consigo entender de qual script é esse, para que eu possa rastreá-lo e removê-lo.

Obrigado

    
por Farhan 07.11.2012 / 16:54

2 respostas

3

lsof -p em relação aos IDs do processo relevantes informam onde procurar ...

Por exemplo, lsof -p 10078 fornecerá uma lista de todos os arquivos abertos associados a esse processo. Dê uma olhada na saída e trabalhe de volta para ver quais arquivos estão em uso.

    
por 07.11.2012 / 16:57
3

Eu encontrei uma solução usando o qual você pode saber o caminho exato do sistema / kernel perpendicular, entre colchetes, como [perl]

readlink -f /proc/{PID of process}/exe
    
por 08.11.2012 / 10:40

Tags