我正在运行一个 Ubuntu 虚拟机,上面安装了几个网站。我认为由于我的错误和错误的权限,服务器上上传了一个恶意代码,在我删除它之前,“蠕虫”拥有 root 访问权限一段时间。现在一切看起来都很好,除了一件事,有一个进程会自动启动,named并且该进程使用了 100% 的 CPU。我在 TOP 中检查了它,进程的路径是./named -c named.conf相对于某个不确定的东西。我尝试的第二件事是获取 PID,我检查了/proc/[PID]/exe它,它指向 root 中不存在的文件:/root/named/named我推测是因为此路径上没有文件,所以它不断给出错误并陷入某种循环。
现在我可以停止该进程,这很好,但我找不到该进程是谁启动的,在哪里启动的。我担心还有一些文件没有清除。
有人可以帮忙调查这个问题吗?或者提供一些关于在哪里寻找恶意代码的提示,或者有没有办法阻止该进程在服务器上完全启动?
答案1
您的机器已损坏,谁知道还有什么问题。从头开始重新安装并从备份中恢复数据。