该进程占用了大量资源,并向其他站点发送DDos(?)。
它以 www-data 的形式运行。它能做什么 :
它下载到 WordPress 的 wp-content 文件夹下并自行运行。
之后,它将自身从 wp-content 文件夹中删除以逃避扫描仪,但该进程仍将驻留在内存中。
我设法通过复制 /proc/PID/exe 来恢复进程文件,我有限的知识只表明它是由 upx 使用 linux 字符串命令来查看内部的。
无论如何,想知道恶意软件是如何设法自行运行的吗?如何知道恶意软件设法潜入何处?
WordPress 网站已受到 gutenblock-64/stealing 进程的攻击