Se não me engano, ls -l /proc/11377/exe
dirá onde o arquivo está localizado. Removendo-o pode ser um assunto completamente diferente.
Eu tenho um processo chamado "stealth" que infectou o meu servidor (batendo minha CPU) e não consigo descobrir onde é removê-lo para sempre. Toda vez que eu mato o processo, de alguma forma ele se inicia novamente ...
ps -ef | grep stealth
me dá isso:
Mas eu não tenho ideia de onde ./stealth seria, já que é um caminho relativo?
Além disso, quando tento usar locate
ou find
, não recebo nada.
Alguma ideia de como posso encontrar e remover este processo?
Seu computador está comprometido. Se possível, substitua o servidor por um limpo ou reinstale-o. Você não deve confiar mais nisso.
locate
, execute updatedb
para garantir que o banco de dados "locate" seja atual /proc/[pid]/cwd
, isso lhe dá o "diretório de trabalho atual", que lhe dirá onde ./stealth
é kill -SIGSTOP [pid]
irá parar (suspender) o processo sem o matar, permitindo que você o examine sem se preocupar em fazer mais nada.