檢查/ tmp中的哪個腳本創建文件

Question

我的debian中有一些惡意軟件或黑客入侵。我看到處理器佔用了300％的處理器。我怎麼能檢查哪個腳本或哪個用戶反覆創建這個文件，我可以殺死這個過程，但在接下來的30分鐘裏，這個過程將會更新。

這個過程是：/tmp/phpmnE0Ib_jhikt717dscrcw6b -c 2 -M stratum+tcp://4AE9fi43498hg 938hg....3o4ijf3ioEI0:x@monerohash.com:3333/xmr

和用戶該方法的是我的Apache（WWW的數據）。

Answer 1

沒有確定或簡單的方法找到造成這種情況的原因。更糟糕的是，如果你確實發現了這個腳本的運行情況，並且擺脫了眼前的問題，你仍然不能確定1）他們通過的「洞」已經被插入，2）他們還沒有安裝這是一個rootkit或後門，以便他們可以在以後重新使用。

最好的建議是：

• 關閉被感染的系統
• 快照/保存其文件系統。
• 使用已知的安全系統來鑑定受損文件系統。您應該尋找證據來確定導致妥協的漏洞（或不良安全做法!!）。
• 一旦你有問題的積極的原因：
  • 建立系統從知乾淨的基本映像（如安裝光盤）的新版本，並跟上時代的所有軟件的副本，從獲得已知乾淨的來源。
  • 從已知的備份中恢復文件和數據庫狀態爲乾淨;即在妥協之前採取的。

是不明智的嘗試「清理」折衷系統。除非你在法醫安全和非常勤勉方面非常熟練，否則你永遠無法確定你已經擺脫了壞人可能留下的隱藏的後門等。專家黑客善於隱藏他們的蹤跡......並且引導虛假路徑/虛假線索讓你認爲你已經發現了它。