Processo Stealth Linux

1

Eu tenho um processo chamado "stealth" que infectou o meu servidor (batendo minha CPU) e não consigo descobrir onde é removê-lo para sempre. Toda vez que eu mato o processo, de alguma forma ele se inicia novamente ...

ps -ef | grep stealth me dá isso:

Mas eu não tenho ideia de onde ./stealth seria, já que é um caminho relativo?

Além disso, quando tento usar locate ou find , não recebo nada.

Alguma ideia de como posso encontrar e remover este processo?

    
por Jesse Bunch 20.12.2011 / 16:30

3 respostas

4

Se não me engano, ls -l /proc/11377/exe dirá onde o arquivo está localizado. Removendo-o pode ser um assunto completamente diferente.

    
por 20.12.2011 / 16:44
3

Seu computador está comprometido. Se possível, substitua o servidor por um limpo ou reinstale-o. Você não deve confiar mais nisso.

    
por 20.12.2011 / 17:01
0
  1. antes de executar locate , execute updatedb para garantir que o banco de dados "locate" seja atual
  2. o fato de que o processo reaparece significa que ele está sob a supervisão de outro processo (init, daemontools, cron, etc). Veja o processo parent-id para descobrir qual processo está iniciando. Este programa precisará ser examinado para descobrir que relação ele tem com o programa invisível
  3. examine a entrada proc para o id do processo, veja em /proc/[pid]/cwd , isso lhe dá o "diretório de trabalho atual", que lhe dirá onde ./stealth é
  4. kill -SIGSTOP [pid] irá parar (suspender) o processo sem o matar, permitindo que você o examine sem se preocupar em fazer mais nada.
por 10.01.2015 / 00:09