No Debian 8.5, estou encontrando processos e arquivos estranhos em /tmp :
file "cool" is owned by root, group=postgres<br>
file "Injection.sh", "zeroteam.so", "zteam"
Por que esses arquivos existem? Como posso descobrir o que estão fazendo?
UPDATE / EDIT :
Eu encontrei algo. Então parece que é malware, que foi baixado pelo usuário postgres, eu posso ver as entradas no postgresql-log onde ele baixa os vários arquivos de um ip desconhecido.
Como eles conseguiram fazer isso? Eu acho que tem algo a ver com o esquema público padrão. Está correto?
Eu reiniciei o banco de dados com uma configuração atualizada para impedir todo o acesso ao banco de dados de fora. Não tenho certeza se isso é suficiente ou se terei que fazer uma reconstrução limpa do sistema.
Qualquer informação adicional é apreciada.
Tags tmp debian postgresql vulnerability