Как удалить процесс сценария Perl, загружающий процессор

2

На моем сервере запущен процесс (CentOS 5.2), который занимает 99-100% моего процессора. Команда ps выдает имя fakeproc следующим образом:

30571 ?        R    3620:06 fakeproc

Запуск top показывает мне, что это Perl-скрипт, связанный с этим процессом:

30571 apache    25   0  6292 3044 1288 R  100  0.1   3621:44 perl

Я пытался исследовать, но не получил много информации о местонахождении сценария Perl:

$ ps -p 30571 -o command
COMMAND
fakeproc

Я почти уверен, что у меня есть какая-то вредоносная программа (какой-то Perl-скрипт), который создает этот fakeproc, но я понятия не имею, как его найти или как его удалить.

Есть идеи?

ChiCgi
источник

Ответы:

1

Сначала выясните, кто что запускает. Следующая команда покажет, какой процесс запустил скрипт

ps xjf -C fakeproc

После этого вы сможете убить соответствующие процессы, используя

kill PID

Где PID - это идентификатор процесса, о котором идет речь. Согласно этому сайту и тому , что вы видите, вполне может быть вредоносное ПО.

terdon
источник
Да, я видел эти сайты. Моя проблема заключается в попытке найти, где на самом деле находится скрипт Perl. Я уже убил процесс, так что больше не могу помочь.
ChiCgi
Я полагаю, вы пытались его найти. Возможно, где-то оставил след, попробуйте grep -r /var/log.
тердон
Я закончил поиск во всех моих публичных файлах строки fakeproc, думая, что она наверняка появится где-то в скрипте ( grep -r 'fakeproc'). Конечно же, это так. Возможно, имена файлов будут полезны кому-то еще - мои были названы nakal.txt и nakal.txt.1. Еще несколько копаний заставили меня поверить, что все это было сделано с помощью эксплойта WordPress TimThumb на сайте, размещенном на сервере.
ChiCgi