Làm thế nào để loại bỏ quá trình tập lệnh perl chiếm CPU

Tôi đã có một quy trình chạy trên máy chủ của mình (CentOS 5.2) đang chiếm 99-100% CPU của tôi. Lệnh ps tiết lộ tên fakeproc như sau:

30571 ?        R    3620:06 fakeproc

Chạy trên cùng cho tôi thấy rằng đó là một tập lệnh perl được liên kết với quá trình này:

30571 apache    25   0  6292 3044 1288 R  100  0.1   3621:44 perl

Tôi đã cố gắng điều tra, nhưng không nhận được nhiều thông tin về vị trí của tập lệnh perl:

$ ps -p 30571 -o command
COMMAND
fakeproc

Tôi khá chắc chắn rằng tôi đã có một số phần mềm độc hại (một tập lệnh perl thuộc loại nào đó) đang tạo ra fakeproc này, nhưng tôi không biết làm thế nào để xác định vị trí hoặc cách loại bỏ nó.

Có ý kiến gì không?

centos malware perl

— ChiCgi
nguồn

Trước tiên hãy tìm xem ai đang tung ra cái gì. Lệnh sau sẽ cho biết quá trình nào đã khởi chạy tập lệnh

ps xjf -C fakeproc

Sau đó, bạn có thể giết các quá trình có liên quan bằng cách sử dụng

kill PID

Trong đó PID là ID tiến trình trong câu hỏi. Theo trang này và cái này , những gì bạn đang thấy cũng có thể là phần mềm độc hại.

— terdon
nguồn

Vâng, tôi đã thấy những trang web đó. Vấn đề của tôi là trong việc cố gắng tìm vị trí của tập lệnh perl. Tôi đã giết quá trình này, vì vậy nó không còn ở đó để giúp đỡ.

— ChiCgi

Tôi giả sử bạn đã cố gắng tìm kiếm nó. Nó có thể đã để lại dấu vết ở đâu đó, hãy thử grep -r /var/log.

— terdon

Tôi đã kết thúc việc tìm kiếm thông qua tất cả các tệp công khai của mình cho chuỗi fakeproc, nghĩ rằng chắc chắn nó sẽ hiển thị ở đâu đó trong tập lệnh ( grep -r 'fakeproc' ). Chắc chắn, nó đã làm. Có lẽ tên tệp sẽ hữu ích cho người khác - tên của tôi được đặt tên là nakal.txt và nakal.txt.1. Một số hoạt động đào sâu hơn khiến tôi tin rằng tất cả đã được thực hiện thông qua việc khai thác TimThumb của WordPress trên một trang web được lưu trữ trên máy chủ.

— ChiCgi