Ich verwende eine virtuelle Ubuntu-Maschine, auf der einige Sites installiert sind. Ich denke, aufgrund meines Fehlers und falscher Berechtigungen wurde ein bösartiger Code auf den Server hochgeladen und der „Wurm“ hatte eine Zeit lang Root-Zugriff, bevor ich ihn gelöscht habe. Jetzt sieht alles gut aus, abgesehen von einer Sache: Es gibt einen Prozess, der automatisch gestartet wird namedund 100 % meiner CPU nutzt. Ich habe ihn in TOP überprüft und der Pfad des Prozesses ist ./named -c named.confrelativ zu etwas, ich bin mir nicht sicher, was. Als Zweites habe ich versucht, die PID abzurufen, und ich habe sie überprüft /proc/[PID]/exeund sie zeigt auf eine nicht vorhandene Datei im Stammverzeichnis: /root/named/namedIch nehme an, weil sich unter diesem Pfad keine Datei befindet, gibt es ständig Fehler und gerät in eine Art Schleife.
Jetzt kann ich den Prozess stoppen, was kein Problem ist, aber ich kann nicht herausfinden, wer oder wo der Prozess gestartet wurde. Ich fürchte, es sind noch einige Dateien übrig, die ich nicht gelöscht habe.
Kann jemand bei der Untersuchung dieses Problems behilflich sein oder Tipps geben, wo man nach dem Schadcode suchen kann, oder gibt es eine Möglichkeit, den Start des Prozesses auf dem Server vollständig zu blockieren?
Antwort1
Ihre Maschine ist hinüber, wer weiß, was sonst noch nicht in Ordnung ist. Installieren Sie sie von Grund auf neu und stellen Sie Ihre Daten aus Backups wieder her.