Linux Stealth Process

У меня есть процесс с именем "стелс", который заразил мой сервер (сбивает мой процессор), и я не могу понять, где его удалить навсегда. Каждый раз, когда я убиваю процесс, он как-то начинается снова...

ps -ef | grep stealth дает мне это:

процесс скрытности

Но я понятия не имею, где./stealth будет, так как это относительный путь?

Также, когда я пытаюсь использовать locate или же findЯ ничего не получаю.

Любые идеи, как я могу найти и удалить этот процесс?

Источник

3 ответа

Решение

Если я не ошибаюсь, ls -l /proc/11377/exe скажет вам, где находится файл. Удаление это может быть совсем другое дело, хотя.

Источник

Ваш компьютер скомпрометирован. Если возможно, замените сервер на чистый или переустановите его. Вы не должны больше доверять этому.

Источник
  1. перед запуском locate, бежать updatedb чтобы убедиться, что база данных "locate" актуальна
  2. тот факт, что процесс возрождается, означает, что он находится под наблюдением другого процесса (init, daemontools, cron и т. д.). Посмотрите на родительский идентификатор процесса, чтобы узнать, какой процесс его запускает. Эту программу нужно будет изучить, чтобы выяснить, какое отношение она имеет к стелс-программе.
  3. проверьте запись proc для идентификатора процесса, посмотрите на /proc/[pid]/cwd это дает вам "текущий рабочий каталог", который скажет вам, где ./stealth является
  4. kill -SIGSTOP [pid] остановит (приостановит) процесс, не убивая его, что позволит вам изучить его, не беспокоясь о том, что он будет делать дальше.
Источник
Другие вопросы по тегам