可能重复:
我的服务器被黑了应急
我看到奇怪的TCP连接149.9.1.16:ircd它正在运行perl服务,该进程正在创造巨大的负载服务器IPV4 TCP 3u MYIP:58449 – > 149.9.1.16:ircd ESTABLISHED
我可以知道这是恶意软件或任何其他服务运行和吃我的服务器资源我的操作系统的细节是centos5.5
如果这不是你所期望的,那么它很可能是恶意软件。 你唯一真正的解决办法是closures系统。 获取图像供以后分析。 将系统从轨道上移开,然后从已知的好备份中恢复 – 这是确保的唯一方法。
这很糟糕 – 它看起来像你的服务器是僵尸networking的一部分。
如果你不知道程序在哪里运行,请检查一下它的相关信息('pid'是进程ID):
ls -l / proc /'pid'/ fd cat / proc /'pid'/ cmdline
find坏脚本并杀死它。 我想,它位于/ tmp,/ var / tmp或为您的Web服务器定义的临时目录。 这是一个很好的机会,这个脚本是通过坏的网页上传的。 find它并修复。