CPU를 사용하는 펄 스크립트 프로세스를 제거하는 방법

2

내 서버 (CentOS 5.2)에서 CPU의 99-100 %를 차지하는 프로세스가 실행 중입니다. ps 명령은 다음과 같이 이름 fakeproc을 나타냅니다.

30571 ?        R    3620:06 fakeproc

top을 실행하면이 프로세스와 관련된 펄 스크립트임을 알 수 있습니다.

30571 apache    25   0  6292 3044 1288 R  100  0.1   3621:44 perl

조사를 시도했지만 펄 스크립트의 위치에 대한 많은 정보를 얻지 못했습니다.

$ ps -p 30571 -o command
COMMAND
fakeproc

이 fakeproc을 생성하는 맬웨어 (일종의 펄 스크립트)가 있지만 그것을 찾는 방법이나 제거하는 방법을 모르겠습니다.

어떤 아이디어?

centos  malware  perl 
ChiCgi
소스

답변:

1

먼저 누가 무엇을 시작하는지 확인하십시오. 다음 명령은 스크립트를 시작한 프로세스를 보여줍니다.

ps xjf -C fakeproc

그런 다음 다음을 사용하여 관련 프로세스를 종료 할 수 있어야합니다.

kill PID

PID는 문제의 프로세스 ID입니다. 에 따르면 이 사이트이 하나 당신이 잘 악성 코드가 될 수 무엇을보고.

테르 돈
소스
예, 그 사이트를 보았습니다. 내 문제는 펄 스크립트가 실제로 어디에 있는지 찾으려고합니다. 이미 프로세스를 종료했기 때문에 더 이상 도움이되지 않습니다.
ChiCgi 2019
검색을 시도했다고 가정합니다. 어딘가에 흔적이 남았을 수도 있습니다 grep -r /var/log.
terdon
필자는 스크립트의 어딘가에 확실히 나타날 것이라고 생각하는 문자열 fakeproc에 대한 모든 공개 파일을 검색했습니다 grep -r 'fakeproc'. 물론 그렇습니다. 아마도 파일 이름은 nakal.txt와 nakal.txt.1이라는 다른 사람에게 유용 할 것입니다. 좀 더 파고 들었을 때 이것이 서버에서 호스팅되는 사이트에서 WordPress의 TimThumb 악용을 통해 이루어 졌다고 믿었습니다.
ChiCgi
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.