Estoy ejecutando una máquina virtual Ubuntu que tiene pocos sitios instalados. Creo que debido a mi error y permisos incorrectos, se cargó un código malicioso en el servidor y el "gusano" tuvo acceso de root por un tiempo antes de que lo eliminara. Ahora todo se ve bien, aparte de una cosa, hay un proceso que se inicia automáticamente namedy ese proceso usa el 100% de mi CPU. Lo verifiqué en ARRIBA y la ruta del proceso es ./named -c named.confrelativa a algo que no estoy seguro de qué. Lo segundo que intenté fue obtener el PID y lo verifiqué /proc/[PID]/exey apunta a un archivo inexistente en la raíz: /root/named/namedsupongo que debido a que no hay ningún archivo en esta ruta, genera un error constante y entra en algún tipo de bucle.
Ahora puedo detener el proceso, lo cual está bien, pero no puedo encontrar quién ni dónde se inició el proceso. Me temo que todavía quedan algunos archivos que no he borrado.
¿Alguien puede ayudar a investigar este problema o dar algunos consejos sobre dónde buscar el código malicioso o hay alguna manera de bloquear el proceso para que no se inicie completamente en el servidor?
Respuesta1
Su máquina está dañada, quién sabe qué más está mal. Reinstale desde cero y restaure sus datos desde copias de seguridad.