Meu servidor linux foi invadido. e agora há um arquivo no diretório raiz que gera grande tráfego. Quando eu mato este processo, ele se autoinicia novamente. então eu fiz chmod -x. mas retornou x opção. não há trabalho de crontab. Eu instalei o auditd para verificar o que está acontecendo. mas não consigo encontrar como se auto-inicia? e talvez alguns outros processos (daemons) funcionem para autostart. Como posso rastrear a atividade de daemons que inicia esse processo?
obrigado.
Coloque a máquina off-line, ou seja, desconecte o cabo de rede, desligue-o, inicialize a partir de uma mídia ao vivo e crie uma imagem dele. Ou, se você puder, crie imagens enquanto estiver em execução. Você pode fazer a perícia mais tarde usando as ferramentas apropriadas, eu usaria o DEFT: www.deftlinux.net
Se o seu servidor for invadido, não o use com o status atual. Faça backup dos seus dados e, em seguida, instale um novo servidor reforçado e configure seu ambiente. Seja cauteloso durante o backup, pois você também pode fazer backup do malware e configurá-lo para o novo servidor. Como pode haver muitos aplicativos prejudiciais em seu servidor, até você resolve seu problema único.