顧客がvpsコンテナを実行しているcentosサーバーがあります。実行すると、ランダムにps auxwww
名前付きプロセスが実行されていることがわかります(大量の帯域幅を消費します)。確認するたびに名前が異なります:hx9hdoh0d、y98y9ydhi、87t8gt8878、名前が変更されます。
名前を変更したきっかけは何ですか?そのようなプロセスを保護したい人がいるかどうかは疑問です。
答え1
これは私にとってモーニングコールでした。
プロセスIDを確認し、実行可能ファイルが何であるかを確認してください(シンボルリンク)。分析のために、このリンクが指すコンテンツをコピーできます。また、それが何をしているかを確認してください。インターネットに接続している場合は、状況の分析中に発信接続をファイアウォールでブロックできます。ls -l /proc/process_id/
exe
strace -p process_id
場所が一時ディレクトリまたはWebサーバープロセスで使用できる他の場所である場合は、システムが破損していると確信exe
できます。どのユーザーとして実行されていますか?ルートではない場合、ダメージが制限される可能性があります。可能その後、整理する必要はありません。ただし、このようなことが再発しないようにシステムを消去し、バックアップから復元し、システムがどのように破損したかを把握することをお勧めします。