Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Я вижу странное TCP-соединение 149.9.1.16:ircd, и на нем запущена служба Perl, и этот процесс создает огромную нагрузку на сервер IPV4 TCP 3u MYIP: 58449 -> 149.9.1.16:ircd ESTABLISHED
Могу ли я узнать, работает ли эта вредоносная программа или какая-либо другая служба и потребляет ли она ресурсы моего сервера. Данные моей операционной системы - centos5.5
Если это не то, чего вы ожидаете, скорее всего, это вредоносное ПО. Единственное реальное решение - выключить систему. Получите изображение для последующего анализа. Зарядите систему с орбиты, а затем восстановите из заведомо исправной резервной копии - это единственный способ быть уверенным.
Это плохо - похоже, что ваш сервер является частью ботнета.
Если вы не знаете, где выполняется процесс, проверьте информацию о нем (pid - это идентификатор процесса):
ls -l /proc/'pid'/fd cat /proc/'pid'/cmdline
Найдите плохой сценарий и убейте его. Я думаю, он находится в / tmp, / var / tmp или определенном временном каталоге для вашего веб-сервера. Вполне вероятно, что этот сценарий был загружен через плохо закодированные веб-страницы; найди и отремонтируй.