На моем сервере запущен процесс (CentOS 5.2), который занимает 99-100% моего процессора. Команда ps выдает имя fakeproc следующим образом:
30571 ? R 3620:06 fakeproc
Запуск top показывает мне, что это Perl-скрипт, связанный с этим процессом:
30571 apache 25 0 6292 3044 1288 R 100 0.1 3621:44 perl
Я пытался исследовать, но не получил много информации о местонахождении сценария Perl:
$ ps -p 30571 -o command
COMMAND
fakeproc
Я почти уверен, что у меня есть какая-то вредоносная программа (какой-то Perl-скрипт), который создает этот fakeproc, но я понятия не имею, как его найти или как его удалить.
Есть идеи?
grep -r /var/log
.grep -r 'fakeproc'
). Конечно же, это так. Возможно, имена файлов будут полезны кому-то еще - мои были названы nakal.txt и nakal.txt.1. Еще несколько копаний заставили меня поверить, что все это было сделано с помощью эксплойта WordPress TimThumb на сайте, размещенном на сервере.