В качестве некоторой предыстории, похоже, что наш сервер чем-то заразился и используется для открытия множества TCP-соединений в большом диапазоне IP-адресов. Я на полпути пытаюсь отследить, как наш сервер заразился сейчас; мой рассказ о горе был изложен в 398639 для всех, кому нужна дополнительная информация.
Текущая проблема заключается в том, что я обнаружил команду Apache "con.shs", которая обычно занимает 100% нашего процессора (возможно, это связано с компрометацией нашего сервера).
У меня вопрос: знал ли кто, что такое con.shs и почему он работает на 100%? Ни один поиск Google не дал ничего, что могло бы помочь.
Мы используем Centos 5.7 Final и Apache 2.2.3 (с PHP и MySQL).
con.shs
может быть просто случайным именем, выбранным вредоносной программой. Вы пробовали проверить процесс?
Использовать pgrep con.shs
найти список PID и проверить /proc/<pid>/
каталог - посмотрите на такие детали, как exe
(что такое исполняемый файл - к сожалению, иногда его удаляют) и, возможно, cwd
(каков рабочий каталог сценария - по моему опыту, они не беспокоятся о том, чтобы запускать его откуда-то вроде / tmp). Другие файлы там тоже будут полезны, например cmdline
.
Это должно помочь вам отследить его, увидеть, что он делает, и предотвратить его повторное появление.