Como saber a origem de um processo no Linux?

2

Em nossa empresa, estamos usando o Fedora 14. Nossos desenvolvedores estão usando o código Python para processar documentos. Todos estão sendo executados como root. De alguma forma eles fizeram alguma coisa e um arquivo veio dentro que faz muitas e muitas conexões com um IP em particular, que congestionou toda a nossa rede. Nós tentamos resolver isso. Em /usr/bin , encontramos alguns binários imundos que estão criando essas conexões. Depois de remover o binário de /usr/bin , o mesmo arquivo é recriado com um nome diferente e novamente inicia a conexão com o IP.

Existe uma maneira de encontrar o programa que está criando este executável em /usr/bin ?

    
por user72789 17.04.2015 / 08:18

2 respostas

2

Parece um trojan DDoS. Principalmente esses trojans estão no cronjobs. Pare o daemon do cron e verifique seus arquivos /etc/crontab e /etc/cron.* para vários cronjobs que criam esses arquivos.

    
por 17.04.2015 / 08:36
1

Se você deseja o caminho do executável atual, consulte /proc/$PID/exe

ls -l /proc/$PID | grep exe
    
por 17.04.2015 / 15:56

Tags