我需要一些帮助,我的服务器提供商联系我,告诉我我的服务器使用了 200mbit/s 带宽。经过调查,我发现了一个不应该存在的用户进程。我发现的进程如下:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
我知道 eggdrop 是 IRC,我的问题是,在哪里可以找到这些进程的软件安装在哪里?
答案1
您已被攻陷。当然,您可以终止进程。
首先运行/sbin/lsof | grep eggdrop和/sbin/lsof | grep stealth。
您应该能够从该输出中看到可执行文件的完整路径。这将为您提供一个确定机器人安装目录的起点。
从那时起终止进程并继续运行其中一个标准的 rootkit 检测程序(rkhunter 或chkroot工具)。
如果您有备份,那是一个不错的选择。但如果没有,您需要确定您是如何受到攻击的,并确保没有任何东西会重新触发恶意应用程序(rc 脚本、crontab 等)。
请查看以下有关受感染系统的帖子: