当社ではFedora 14を使用しています。私たちの開発者はPythonコードを使ってドキュメントを処理します。すべてrootとして実行されます。どういうわけか彼らは何かをし、ファイルが入り、特定のIPに多数の接続を作成してネットワーク全体をブロックしました。私たちはこの問題を解決しようとします。では、/usr/binこれらの接続を作成するいくつかの汚れたバイナリを見つけました。バイナリファイルを削除すると、/usr/bin同じファイルが別の名前で再生成され、IPへの接続が再開されます。
この実行可能ファイルを生成するプログラムを見つける方法はありますか/usr/bin?
答え1
これはDDoSトロイの木馬のようです。これらのトロイの木馬のほとんどはcronjobにあります。 cronデーモンを停止してファイルを確認して、これらのファイルを生成する複数の/etc/crontabcronjob/etc/cron.*があることを確認してください。
答え2
現在の実行可能ファイルへのパスについては、以下を参照してください/proc/$PID/exe。
ls -l /proc/$PID | grep exe