检查哪个脚本在/ tmp中创建文件

时间:2017-08-22 12:04:49

标签: linux apache

我的debian中有一些恶意软件或黑客攻击。我看到顶部的进程占用了300%的处理器负载。如何检查哪个脚本或哪个用户反复创建此文件,我可以终止此过程,但在接下来的30分钟内,此过程将续订。

此过程为:/tmp/phpmnE0Ib_jhikt717dscrcw6b -c 2 -M stratum+tcp://4AE9fi43498hg 938hg....3o4ijf3ioEI0:x@monerohash.com:3333/xmr

这个过程的用户是我的apache(www-data)。

1 个答案:

答案 0 :(得分:1)

没有确定或简单的方法可以找到造成这种情况的原因。更糟糕的是,如果你确实找到了继续运行这个脚本的东西,并且摆脱了眼前的问题,你仍然无法确定1)"""他们进入已经堵塞了2)他们还没有安装rootkit或后门,因为他们可以在以后重新开始。

最好的建议是:

  • 关闭受感染的系统
  • 快照/保留其文件系统。
  • 使用已知的安全系统来检查受感染的文件系统。您应该寻找证据来识别导致妥协的漏洞(或糟糕的安全措施!!)。
  • 一旦你肯定了问题的原因:
    • 已知干净基础图像(例如安装光盘)和所有软件的最新副本构建新版本的系统,从已知干净的消息来源。
    • 已知的备份中恢复文件和数据库状态为干净;即在妥协之前采取。

尝试"清理"是不明智的。一个受损的系统。除非你在法医安全方面非常熟练并且非常勤奋,否则你永远无法确定你已经摆脱了坏人可能留下的隐藏的后门等。专家黑客擅长隐藏他们的踪迹......并引导虚假踪迹/虚假线索让你觉得你已经弄明白了。

相关问题
最新问题