Apache обрабатывает con.shs, используя 100% нагрузку на CentOS. Что это?

Question

Apache обрабатывает con.shs, используя 100% нагрузку на CentOS. Что это?

В качестве предыстории кажется, что наш сервер чем-то заразился и используется для открытия тонны TCP-соединений в большом диапазоне, если IP-адреса. Я на полпути, пытаясь отследить, как наш сервер заразился сейчас; моя история о горе была изложена на 398639 для тех, кто хочет получить дополнительную информацию.

В настоящее время проблема заключается в том, что я обнаружил команду Apache "con.shs", которая обычно занимает 100% нашего ЦП (возможно, это связано с компрометацией нашего сервера).

У меня вопрос, знает ли кто-нибудь, что такое con.shs и почему он работает на 100%? Поиск Google не дал ничего, что могло бы помочь.

Мы используем Centos 5.7 Final и Apache 2.2.3 (с PHP и MySQL).

1

apache-2.2 centos high-load

Источник

dKen 14 июн '12 в 12:42

1 ответ

Решение

Другие вопросы по тегам apache-2.2 centos high-load

Jay 14 июн '12 в 12:56 2012-06-14 12:56 · Accepted Answer · 2012-06-14 12:56

con.shs может быть случайным именем, которое выбирает вредоносная программа. Вы пытались проверить процесс?

использование pgrep con.shs найти список PID и осмотреть /proc/<pid>/ каталог - посмотрите на детали, такие как exe (что такое исполняемый файл - к сожалению, иногда его удаляют) и, возможно, cwd (каков рабочий каталог скрипта - по моему опыту, они не удосуживаются запускать его откуда-то вроде /tmp). Будут полезны и другие файлы, такие как cmdline,

Это должно помочь вам отследить его, увидеть, что он делает, и предотвратить его возвращение.