简单介绍一下背景情况,我们的服务器似乎被某种病毒感染了,并且被用来在大范围内打开大量 TCP 连接。我现在正在努力找出我们的服务器是如何被感染的;我的悲惨经历已在398639对于任何想要了解更多信息的人。
当前的问题是我发现 Apache 命令“con.shs”经常占用我们 100% 的 CPU(这绝对可能与我们的服务器受到攻击有关)。
我的问题是,是否有人知道“con.shs”是什么以及为什么它以 100% 的速度运行?Google 搜索没有返回任何可能有帮助的信息。
我们正在运行 Centos 5.7 Final 和 Apache 2.2.3(带有 PHP 和 MySQL)。
答案1
con.shs
可能只是恶意软件随机选择的名称。您是否尝试过检查该过程?
使用pgrep con.shs
查找 PID 列表并检查/proc/<pid>/
目录 - 查看详细信息,例如exe
(可执行文件是什么 - 不幸的是,他们有时会删除它)以及cwd
(脚本的工作目录是什么 - 根据我的经验,他们不会费心从 /tmp 这样的地方运行它)。其中的其他文件也会很有用,例如cmdline
。
这应该可以帮助您追踪它,了解它在做什么,并防止它再次回来。