作为一个背景,似乎我们的服务器已经感染了一些东西,并被用来打开大量的IP连接。 我试图追踪我们的服务器现在如何被感染了一半; 我的故事已经在398639概述了谁想要一些额外的信息。
目前的问题是我发现一个Apache命令“con.shs”,通常占用我们100%的CPU(这绝对是可能的,这与我们的服务器的妥协有关)。
我的问题是,如果有人知道“con.shs”是什么,为什么它以100%运行? Googlesearch没有返回任何可能有帮助的内容。
我们正在运行Centos 5.7 Final和Apache 2.2.3(使用PHP和MySQL)。
con.shs可能只是恶意软件挑选的随机名称。 你有没有尝试检查过程?
使用pgrep con.shs来查找PID列表并检查/proc/<pid>/目录 – 查看详细信息,比如exe (可执行文件是什么 – 不幸的是,它们有时会被删除),也许cwd (工作目录的脚本是 – 根据我的经验,他们不打扰从/ tmp之类的地方运行它)。 那里的其他文件也是有用的,比如cmdline 。
这应该可以帮助你追踪它,看看它在做什么,并防止它回来。