Webサーバーが破損しており、奇妙なプロセスが実行されています。

Webサーバーが破損しており、奇妙なプロセスが実行されています。

だから現在、私のDebianサーバーは多くの発信トラフィックを生成しています。破損して他のターゲットを攻撃するために使用される可能性が最も高いです。

top コマンドはこれを示します

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
15913 www-data  20   0 23268  920  696 R   7.0  0.1 525:25.24 -
10960 www-data  20   0 23268 2272  748 R   6.7  0.2   6137:34 -
10963 www-data  20   0 23268 2224  736 R   6.7  0.2 116:30.51 -
10972 www-data  20   0 23268 2368  736 R   6.7  0.2 116:16.23 -
10975 www-data  20   0 23268 2312  736 R   6.7  0.2 116:16.52 -
13509 www-data  20   0 10416  188  168 R   6.7  0.0   1242:09 64
15916 www-data  20   0 23268 2344  744 R   6.7  0.2 116:21.48 -
15925 www-data  20   0 23268 2336  744 R   6.7  0.2 116:21.37 -
15928 www-data  20   0 23268 2264  744 R   6.7  0.2 116:21.44 -
17906 www-data  20   0 23268 2276  748 R   6.7  0.2 115:09.06 -
18191 www-data  20   0 10416  224  204 R   6.7  0.0 275:54.55 64
17893 www-data  20   0 23268 2288  748 R   6.3  0.2 115:09.14 -
19789 www-data  20   0 23268 1124  708 R   6.3  0.1  19:33.81 -
26644 www-data  20   0  258m  17m 7108 S   4.7  1.7   0:09.78 apache2
26754 www-data  20   0  256m  11m 4900 R   3.0  1.1   0:00.72 apache2
 2832 mysql     20   0  748m  75m 3012 S   1.7  7.5 194:48.84 mysqld
17890 www-data  20   0 29440 2456  852 S   0.7  0.2   8:26.73 -
17903 www-data  20   0 29440 2452  852 S   0.7  0.2   8:27.18 -
19786 www-data  20   0 29440 2452  852 S   0.7  0.2   6:03.52 -
19773 www-data  20   0 29440 2452  852 S   0.3  0.2   6:03.28 -
19776 www-data  20   0 23268 2304  708 S   0.3  0.2   1:05.50 -
20044 www-data  20   0 23268 2364  708 S   0.3  0.2   1:02.34 -
26760 www-data  20   0 23268 2332  712 S   0.3  0.2   1520:05 -
26765 tyron     20   0 79820 1608  780 S   0.3  0.2   0:00.05 sshd
27145 www-data  20   0 23268 2368  696 S   0.3  0.2   4:00.71 -
    1 root      20   0 10656  124  100 S   0.0  0.0   0:04.71 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kthreadd

「-」をコマンドとして使用するプロセスは何ですか?ソースを追跡する方法は?明らかにwww-dataがユーザーなので、攻撃はhttpサーバーを介して行われます。しかし、どうなりますか?なぜ?どこ?おお

答え1

次のコマンドを使用して実行可能ファイルの検索を開始できます。

ls -l /proc/<PID>/exe

その後、次のコマンドを実行して作成者(親PID)を見つけることができます。

ps -p <PID> -o ppid=:wq

始点が見つかるまで検索してください。

initスクリプト、グローバルおよびユーザー固有のcronジョブ、スクリプト、rc.localファイルなどの一般的な自動実行ポイントを確認することもできます。追加することがもう1つあります。 Googleを確認してください。同じ投稿がたくさんあります。

関連情報