有人能解释一下文件类型/var/tmp/php-fpm及其用途吗?当我使用该命令检查时,此命令占用了很高的 CPU 百分比top。即使我删除了文件,它也会重新创建。
答案1
php-fpm不使用/var/tmp/php-fpm,所以您看到的 99% 都是恶意软件。
首先,您可以:
kill过程- 删除恶意软件:
sudo rm -rf /var/tmp/php-fpm - 调查发生了什么以及该文件是如何进入您的系统的。
答案2
此处顶部的进程很可疑,因为它是从 运行的可执行文件/var/tmp,而正确的系统级可执行文件不会从该位置运行。它几乎肯定是恶意软件。
它至少包含两个部分 - 可执行文件本身,您可以相当轻松地找到并删除它,以及正在执行它并可能重新创建它的某些东西。这可能是您登录时运行的启动脚本(Linux 有各种位置可以放置这些脚本,但它将位于您的主目录中的某个位置)。或者,您系统上的某个应用程序可能被入侵或配置错误而启动它。
有趣的是,您似乎也有一些看似真实的php-fpm进程。这可能是恶意软件被赋予该名称的原因 - 使其看起来不那么可疑。如果您正在运行正版php-fpm,那么您正在运行使用 PHP 的 Web 服务器 - 可能您安装了 wordpress,或者可能是运行 Web 界面并恰好使用 PHP 的其他软件。
它可以恶意软件用于安装自身的方法可能与某人利用您正在运行的 Web 应用程序有关。恶意软件以用户身份运行这一事实www-data是这种情况很可能发生的有力线索。
或者可能是你按照了在线找到的说明或脚本,在你不知情的情况下偷偷安装了恶意软件,这可能又与设置你的 Web 应用程序有关,因为它是以www-data.
此时,高度注重安全的人可能会考虑清除并重新安装操作系统。我不知道您是否需要这样做 - 这取决于您是否可以确定此恶意软件是如何安装的,因为如果您不知道,它可能会再次发生。此恶意软件在您的系统上运行没有特别高的权限(www-data权限甚至低于普通用户),但这并不意味着它不能做坏事,例如从您的计算机发送垃圾邮件或 DDOS 攻击,或找出如何在将来提升其权限。知道您正在运行这样的程序意味着您应该采取行动将其删除并确保它不会再次出现。