Назад | Перейти на главную страницу

Linux Stealth Process

У меня есть процесс с именем "stealth", который заразил мой сервер (хлопнув мой процессор), и я не могу понять, где он должен удалить его навсегда. Каждый раз, когда я убиваю процесс, он как-то запускается снова ...

ps -ef | grep stealth дает мне это:

Но я понятия не имею, где будет ./stealth, поскольку это относительный путь?

Также, когда я пытаюсь использовать locate или find, Я ничего не получаю.

Есть идеи, как я могу найти и удалить этот процесс?

Если я не ошибаюсь, ls -l /proc/11377/exe сообщит вам, где находится файл. Однако удаление этого может быть совсем другим делом.

Ваш компьютер взломан. По возможности замените сервер на чистый или переустановите его. Вы не должны больше доверять этому.

  1. перед запуском locate, бегать updatedb чтобы убедиться, что база данных "locate" актуальна
  2. тот факт, что процесс возрождается, означает, что он находится под наблюдением другого процесса (init, daemontools, cron и т. д.). Посмотрите на родительский идентификатор процесса, чтобы узнать, какой процесс его запускает. Эту программу нужно будет изучить, чтобы выяснить, какое отношение она имеет к стелс-программе.
  3. проверьте запись процесса для идентификатора процесса, посмотрите /proc/[pid]/cwd это дает вам "текущий рабочий каталог", который сообщит вам, где ./stealth является
  4. kill -SIGSTOP [pid] остановит (приостановит) процесс, не прерывая его, позволяя вам исследовать его, не беспокоясь о том, что он сделает что-нибудь дальше.