Назад | Перейти на главную страницу

Apache process con.shs использует 100% загрузку CentOS. Что это?

В качестве некоторой предыстории, похоже, что наш сервер чем-то заразился и используется для открытия множества TCP-соединений в большом диапазоне IP-адресов. Я на полпути пытаюсь отследить, как наш сервер заразился сейчас; мой рассказ о горе был изложен в 398639 для всех, кому нужна дополнительная информация.

Текущая проблема заключается в том, что я обнаружил команду Apache "con.shs", которая обычно занимает 100% нашего процессора (возможно, это связано с компрометацией нашего сервера).

У меня вопрос: знал ли кто, что такое con.shs и почему он работает на 100%? Ни один поиск Google не дал ничего, что могло бы помочь.

Мы используем Centos 5.7 Final и Apache 2.2.3 (с PHP и MySQL).

con.shs может быть просто случайным именем, выбранным вредоносной программой. Вы пробовали проверить процесс?

Использовать pgrep con.shs найти список PID и проверить /proc/<pid>/ каталог - посмотрите на такие детали, как exe (что такое исполняемый файл - к сожалению, иногда его удаляют) и, возможно, cwd (каков рабочий каталог сценария - по моему опыту, они не беспокоятся о том, чтобы запускать его откуда-то вроде / tmp). Другие файлы там тоже будут полезны, например cmdline.

Это должно помочь вам отследить его, увидеть, что он делает, и предотвратить его повторное появление.