在 Debian 8.5 上,我在以下位置发现了奇怪的进程和文件/tmp:
file "cool" is owned by root, group=postgres<br>
file "Injection.sh", "zeroteam.so", "zteam"
为什么这些文件存在?我怎样才能知道他们在做什么?
更新/编辑:
我发现了一些东西。所以它看起来像是恶意软件,是由 postgres 用户下载的,我可以在 postgresql-log 中看到它从未知 IP 下载各种文件的条目。
他们是如何做到这一点的?我想这与默认的公共模式有关。它是否正确?
我使用更新的配置重新启动了数据库,以防止从外部对数据库的所有访问。不确定这是否足够,或者我是否必须对系统进行彻底的重建。
如有任何额外信息,我们将不胜感激。