Estou executando uma máquina virtual Ubuntu que possui poucos sites instalados. Acho que devido ao meu erro e permissões erradas, um código malicioso foi carregado no servidor e o "worm" teve acesso root por um tempo antes de eu excluí-lo. Agora tudo parece bem, exceto uma coisa: há um processo que é iniciado automaticamente e chamado namede esse processo usa 100% da minha CPU. Eu verifiquei no TOP e o caminho do processo é ./named -c named.confrelativo a algo que não tenho certeza. A segunda coisa que tentei foi pegar o PID e verifiquei /proc/[PID]/exee ele aponta para um arquivo inexistente na raiz: /root/named/namedpresumo que por não haver arquivo neste caminho dá erro constante e entra em algum tipo de loop.
Agora posso interromper o processo, tudo bem, mas não consigo descobrir quem ou onde o processo foi iniciado. Receio que ainda haja alguns arquivos que não limpei.
Alguém pode ajudar a investigar esse problema ou dar algumas dicas sobre onde procurar o código malicioso ou existe uma maneira de impedir que o processo seja iniciado completamente no servidor?
Responder1
Sua máquina está com mangueira, quem sabe o que mais está errado. Reinstale do zero e restaure seus dados a partir de backups.