私は、いくつかのサイトがインストールされている Ubuntu 仮想マシンを実行しています。私のミスと間違った権限が原因で、悪意のあるコードがサーバーにアップロードされ、削除されるまでしばらくの間、"ワーム" がルート アクセスを持っていたと思います。今は、1 つのことを除いてすべて正常に見えます。自動的に呼び出されるプロセスがありnamed、そのプロセスが CPU を 100% 使用しています。TOP で確認したところ、プロセスのパスは./named -c named.conf何かに関連しますが、何なのかはわかりません。次に試したのは PID を取得することでした。確認した/proc/[PID]/exeところ、ルートに存在しないファイルを指していました。/root/named/namedこのパスにファイルがないため、常にエラーが発生し、何らかのループに陥っているのだと思います。
これでプロセスを停止できるようになりましたが、プロセスを開始した人物や場所がわかりません。削除していないファイルがまだ残っているのではないかと心配です。
この問題の調査を手伝ってくれる人や、悪意のあるコードを探す場所についてヒントをくれる人はいませんか? また、サーバー上でプロセスが完全に開始されないようにブロックする方法はありますか?
答え1
マシンが壊れてしまいました。他に何が問題なのかは誰にもわかりません。最初から再インストールし、バックアップからデータを復元してください。