Parece um trojan DDoS. Principalmente esses trojans estão no cronjobs. Pare o daemon do cron e verifique seus arquivos /etc/crontab
e /etc/cron.*
para vários cronjobs que criam esses arquivos.
Em nossa empresa, estamos usando o Fedora 14. Nossos desenvolvedores estão usando o código Python para processar documentos. Todos estão sendo executados como root. De alguma forma eles fizeram alguma coisa e um arquivo veio dentro que faz muitas e muitas conexões com um IP em particular, que congestionou toda a nossa rede. Nós tentamos resolver isso. Em /usr/bin
, encontramos alguns binários imundos que estão criando essas conexões. Depois de remover o binário de /usr/bin
, o mesmo arquivo é recriado com um nome diferente e novamente inicia a conexão com o IP.
Existe uma maneira de encontrar o programa que está criando este executável em /usr/bin
?
Parece um trojan DDoS. Principalmente esses trojans estão no cronjobs. Pare o daemon do cron e verifique seus arquivos /etc/crontab
e /etc/cron.*
para vários cronjobs que criam esses arquivos.
Se você deseja o caminho do executável atual, consulte /proc/$PID/exe
ls -l /proc/$PID | grep exe