Uma conta de usuário foi invadida em um dos meus servidores, onde o hacker iniciou alguns binários de spam. Antes de eu matar os processos eu gostaria de fazer uma cópia deles, mas quando eu
tar czf 30333.tar.gz /proc/30333
todos os arquivos estão vazios.
Pergunta
Como faço uma cópia de /proc/30333 ?
Aqui está um script que permite limitar o tamanho dos arquivos a serem salvos (aqui 32 ou 64 MiB dependendo do shell):
PID=30333
ulimit -f 65536
cd /proc/$PID || exit 1
find . -type d -exec sh -c 'mkdir -p /tmp/proc/$PID/$1' sh {} \;
find . -type f -exec sh -c 'cat $1 > /tmp/proc/'$PID'/$1' sh {} \;
tar czf /tmp/$PID.tgz /tmp/proc/$PID
rm -rf /tmp/proc/$PID
/proc é um sistema de arquivos virtual e não possui arquivos reais , mas contém informações sobre os processos em execução no sistema.
Solução
cp -r /proc/30333 /root
tar czf /root/30333.tar.gz /root/30333
Certifique-se de que /proc/30333/exe esteja incluído no que você copiar. Não apenas o link simbólico, mas o executável atual para o qual ele está apontando.
Uma imagem de memória também pode ser útil. Você pode criar um dump principal digitando:
gdb
attach 30333
gcore