在我的Linux服务器上,我收到了一个可疑的perl进程,它正在尝试使用perl脚本从我的服务器发送垃圾邮件。 这是ps -aux
输出。
apache 10078 0.0 0.0 4028 705 pts/1 S+ 15:50 0:00 [perl] apache 10079 0.0 0.0 4023 433 pts/1 S+ 15:50 0:00 [perl] apache 10080 0.0 0.0 4024 432 pts/1 S+ 15:50 0:00 [perl] . . .
有超过20个这样的进程正在运行,并且每个进程都占用大量的套接字。
无法find脚本的位置,path和细节,就像写在那里的“perl”一样。 我试图用lsof来查看它打开的文件,它显示了我的服务器上托pipe的一个网站打开的大量的套接字和文件。 但我不能从那里得知哪个脚本是这样的,所以我可以跟踪并删除它。
谢谢
lsof -p
针对相关进程ID会告诉你在哪里看…
例如, lsof -p 10078
会给你一个与该进程相关的所有打开文件的列表。 看看输出并回头看看哪些文件正在使用中。
我发现了一个解决scheme,使用它可以知道系统/内核perocess的精确path,括号括起来,如[perl]
readlink -f /proc/{PID of process}/exe