Я использую виртуальную машину Ubuntu, на которой установлено несколько сайтов. Я думаю, что из-за моей ошибки и неправильных разрешений на сервер был загружен вредоносный код, и «червь» некоторое время имел права root, прежде чем я его удалил. Теперь все выглядит нормально, за исключением одного: есть процесс, который запускается автоматически, namedи этот процесс использует 100% моего процессора. Я проверил его в TOP, и путь к процессу — это ./named -c named.confто, что относительно чего-то, не уверен. Второе, что я попробовал, — это получить PID, и я проверил, /proc/[PID]/exeи он указывает на несуществующий файл в корне: /root/named/namedя предполагаю, что из-за того, что по этому пути нет файла, он выдает постоянную ошибку и попадает в какой-то цикл.
Теперь я могу остановить процесс, что нормально, но я не могу найти, кто или где начал этот процесс. Боюсь, что остались еще некоторые файлы, которые я не очистил.
Может ли кто-нибудь помочь в расследовании этой проблемы или дать несколько советов о том, где искать вредоносный код, или есть ли способ полностью заблокировать запуск процесса на сервере?
решение1
Ваша машина сломалась, кто знает, что еще не так. Переустановите с нуля и восстановите данные из резервных копий.