可能重复:
我的服务器被黑了 紧急求助
我看到了奇怪的 TCP 连接 149.9.1.16:ircd,它正在运行 perl 服务,并且该过程在服务器 IPV4 TCP 3u MYIP:58449 -> 149.9.1.16:ircd ESTABLISHED 上产生了巨大的负载
我可以知道这是恶意软件还是任何其他服务正在运行并占用我的服务器资源我的操作系统详细信息是 centos5.5
答案1
如果这不是您所期望的,那么它很可能是恶意软件。您唯一真正的解决方案是关闭系统。获取图像以供以后分析。从轨道上摧毁系统,然后从已知的良好备份中恢复 - 这是唯一可以确保的方法。
答案2
这很糟糕——看起来你的服务器是僵尸网络的一部分。
如果你不知道进程在哪里运行,请检查有关它的一些信息(“pid”是进程 id):
ls -l /proc/'pid'/fd cat /proc/'pid'/cmdline
找到坏脚本并终止它。我猜,它位于 /tmp、/var/tmp 或为您的网络服务器定义的临时目录中。很有可能,该脚本是通过错误编码的网页上传的;找到它并修复。