在我们公司,我们使用 Fedora 14。我们的开发人员使用 Python 代码来处理文档。全部都以 root 身份运行。不知何故,他们做了一些事情,一个文件进来了,它与一个特定的 IP 建立了很多很多的连接,这堵塞了我们的整个网络。我们试图解决这个问题。在 中/usr/bin,我们发现了一些正在创建这些连接的肮脏的二进制文件。从 中删除二进制文件后/usr/bin,会使用不同的名称重新创建同一文件,并再次开始与 IP 建立连接。
有没有办法找到正在创建此可执行文件的程序/usr/bin?
答案1
这看起来像是一个 DDoS 木马。这些木马大多存在于 cronjobs 中。停止 cron 守护进程并检查您的/etc/crontab和/etc/cron.*文件,看看是否有多个创建这些文件的 cronjobs。
答案2
如果您想要当前可执行文件的路径,请查看/proc/$PID/exe,
ls -l /proc/$PID | grep exe