答案1
答案2
这取决于程序为了隐藏它的运行位置而付出了多大的努力。如果不是太多的话
12583
从屏幕截图中的进程 ID 开始- 使用
ls -l /proc/12583/exe
它应该给你一个到绝对路径名的符号链接,可以用注释(deleted)
- 检查路径名处的文件是否未被删除。特别注意链接计数是否为 1。如果不是,则您需要查找该文件的其他名称。
由于您将其描述为测试服务器,因此保存所有数据并重新安装可能会更好。该程序以 root 身份运行这一事实意味着您现在确实不能信任该机器。
更新:我们现在知道该文件位于 /tmp 中。由于这是一个二进制文件,因此有多种选择,该文件正在系统上编译,或者正在另一个系统上编译。查看编译器驱动程序的上次使用时间ls -lu /usr/bin/gcc
可能会给您提供线索。
作为权宜之计,如果文件具有常量名称,您可以使用该名称创建一个文件,但该文件受到写保护。我建议使用一个小的 shell 脚本来记录所有当前进程,然后休眠很长时间,以防运行命令的任何内容重新生成作业。如果您的文件系统允许,我会使用chattr +i /tmp/Carbon
它,因为很少有脚本知道如何处理不可变文件。
答案3
您的服务器似乎已被比特币矿工恶意软件破坏。请参阅@dhag 发布的 ServerFault 线程。还,这一页有很多关于它的信息。
它似乎是所谓的“无文件恶意软件” - 您无法找到正在运行的可执行文件,因为您不应该这样做。它耗尽了你所有的 CPU 容量,因为它用它来挖掘加密货币。