我正在运行 Ubuntu 14.04 LTS 服务器,带有 Apache2 和 PHP 5.6。
我正在尝试找到困扰我的一台服务器的进程的来源。
我可以在“top”中看到该进程,它由“www-data”用户运行,并由命令“vmak”标识。它非常奇怪,而且很可能是恶意的。
我已将进程已打开的文件列表列在下面。sudo lsof -p
我想知道你们能否给我指点一些有助于确定此脚本来源的工具,以便我可以删除或隔离它。是否有任何命令可用于查找此进程的来源?
我尝试了很多,包括pstree。任何帮助都将不胜感激。
一旦我终止该进程,它就会立即重新启动。
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vmak 14645 www-data cwd DIR 8,0 4096 124901 /var/www
vmak 14645 www-data rtd DIR 8,0 4096 2 /
vmak 14645 www-data txt REG 8,0 2359872 36 /tmp/vmak (deleted)
vmak 14645 www-data mem REG 8,0 101240 8608 /lib/x86_64-linux-gnu/libresolv-2.19.so
vmak 14645 www-data mem REG 8,0 22952 11891 /lib/x86_64-linux-gnu/libnss_dns-2.19.so
vmak 14645 www-data mem REG 8,0 149120 8765 /lib/x86_64-linux-gnu/ld-2.19.so
vmak 14645 www-data mem REG 8,0 1857312 11893 /lib/x86_64-linux-gnu/libc-2.19.so
vmak 14645 www-data mem REG 8,0 43616 8605 /lib/x86_64-linux-gnu/libnss_files-2.19.so
vmak 14645 www-data 0r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 1w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 2w CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 3r FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 4w FIFO 0,11 0t0 2074158 pipe
vmak 14645 www-data 5u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 6r FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 7w FIFO 0,11 0t0 2074159 pipe
vmak 14645 www-data 8u 0000 0,12 0 9112 anon_inode
vmak 14645 www-data 9r CHR 1,3 0t0 9114 /dev/null
vmak 14645 www-data 10u IPv4 2074160 0t0 TCP [FQDN-Edited-Out].com:53328->ramzansal5.example.com:3338 (ESTABLISHED)
答案1
Ubuntu 有一个官方版本可以从你的系统中删除恶意进程: https://www.ubuntu.com/download/server
只需下载并安装。您可能需要再次设置 Apache,因此请进行备份。