某些进程创建了大量名为 FOO** 的破解文件。我执行以下命令找到罪魁祸首进程 lsof -f -F /tmp/*
但没有发现任何有用的东西。
有没有更好的方法来捕获罪魁祸首进程?
答案1
lsof |grep FOO # should give a listing of processes that are creating at that time files with the name FOO
如果没有输出,你可能需要每分钟设置一个 cronjob 待办事项列表 - 我想也许该进程并不是一直在运行。如果没有输出,请查看文件创建的时间
stat FOO
查看所有者/权限/修改时间等,看看是否有东西可以告诉你一些事情
答案2
您将需要使用审计子系统来追踪恶意进程。