Я использую сервер Ubuntu 14.04 LTS с Apache2 и PHP 5.6.

Я пытаюсь найти источник процесса, который мучает один из моих серверов.

Я вижу процесс в "верху", он запускается пользователем «www-data» и идентифицируется КОМАНДОЙ "vmak". Это очень странно и, скорее всего, злобно.

Я включил список файлов, которые процесс открыл ниже. sudo lsof -p

Мне интересно, могли бы вы, ребята, указать мне какие-либо инструменты, которые могли бы помочь в точном определении источника этого сценария, чтобы я мог удалить его или изолировать. Есть ли какие-нибудь команды, которые были бы полезны при поиске источника этого процесса?

Я пробовал кучу, в том числе pstree . Любая помощь будет принята с благодарностью.

Как только я убью процесс, он начнется снова.

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vmak 14645 www-data cwd DIR 8,0 4096 124901 /var/www
vmak 14645 www-data rtd DIR 8,0 4096 2 /
vmak 14645 www-data txt REG 8,0 2359872 36 /tmp/vmak (deleted)
vmak 14645 www-data mem REG 8,0 101240 8608 /lib/x86_64-linux-gnu/libresolv-2.19.so
vmak 14645 www-data mem REG 8,0 22952 11891 /lib/x86_64-linux-gnu/libnss_dns-2.19.so
vmak 14645 www-data mem REG 8,0 149120 8765 /lib/x86_64-linux-gnu/ld-2.19.so
vmak 14645 www-data mem REG 8,0 1857312 11893 /lib/x86_64-linux-gnu/libc-2.19.so
vmak 14645 www-data mem REG 8,0 43616 8605 /lib/x86_64-linux-gnu/libnss_files-2.19.so
vmak 14645 www-data 0r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 1w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 2w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 3r FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 4w FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 5u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 6r FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 7w FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 8u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 9r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 10u IPv4 2074160 0t0 TCP [FQDN-Edited-Out].com:53328->ramzansal5.example.com:3338 (ESTABLISHED)

1 ответ1

-1

Существует официальный релиз от Ubuntu, который должен удалить процесс мошенничества из вашей системы:https://www.ubuntu.com/download/server

Просто скачайте и установите. Возможно, вам придется заново настроить Apache, поэтому делайте резервные копии.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .