Se sua empresa tiver um processo de resposta a violações, eu invoco isso agora.
Caso contrário:
Isso parece potencialmente mal-intencionado, eu recomendo olhar mais de perto em /proc
.
Com um shell de privilégio raiz, seja por meio de su
ou sudo -s
, mude para o diretório /proc/{pid}
. Alterando {pid}
para o pid mostrado por top
, 30530
neste caso.
Há muitas coisas para se ter uma pista sobre esse processo, aqui estão algumas:
exe
: link para o executável que iniciou este processo. # readlink -f exe
cmdline
: linha de comando que iniciou este processo. # cat cmdline | tr \0 \n
environ
: variáveis de ambiente neste processo. # cat environ | tr \0 \n
fd
: diretório de links para abrir arquivos e soquetes.
A menos que você encontre um motivo legítimo, eu o mato via kill -9 {pid}
e investigo como uma possível violação.