我正在運行一個 Ubuntu 虛擬機,上面安裝了幾個網站。我認為由於我的錯誤和錯誤的權限,惡意程式碼被上傳到伺服器上,並且「蠕蟲」在我刪除它之前有一段時間具有 root 存取權限。現在一切看起來都很好,除了一件事之外,還有一個自動啟動的進程被調用,named並且該進程使用了 100% 的 CPU。我在 TOP 中檢查了它,該過程的路徑是./named -c named.conf與不確定的東西相關的。我嘗試的第二件事是獲取 PID,我檢查了/proc/[PID]/exe它,它指向根目錄中不存在的文件:/root/named/named我猜想因為此路徑上沒有文件,所以它會給出持續的錯誤並進入某種循環。
現在我可以停止該進程,這很好,但我找不到該進程的啟動者或位置。恐怕還有一些文件我沒有清除。
任何人都可以幫助調查這個問題,或者提供一些關於在哪裡尋找惡意程式碼的提示,或者有沒有辦法阻止該進程在伺服器上完全啟動?
答案1
你的機器壞了,誰知道還有什麼問題。從頭開始重新安裝並從備份還原資料。