고객이 vps 컨테이너를 실행하는 centos 서버가 있습니다. 실행하면 ps auxwww무작위로 이름이 지정된 프로세스가 실행되는 것을 볼 수 있습니다(많은 대역폭을 소비함). 확인할 때마다 이름이 달라집니다: hx9hdoh0d, y98y9ydhi, 87t8gt8878, 이름이 변경됩니다.
이름을 바꾸게 된 계기는 무엇입니까? 그러한 프로세스를 보호하고 싶은 사람이 있을지는 의문입니다.
답변1
이것은 나에게 모닝콜이었습니다.
프로세스 ID를 확인하고 실행 파일이 무엇인지 확인하세요(기호 링크). 분석을 위해 이 링크가 가리키는 콘텐츠를 복사할 수 있습니다. 또한 그것이 무엇을 하고 있는지 확인해보세요. 인터넷에 연결되어 있는 경우 상황을 분석하는 동안 나가는 연결을 방화벽으로 차단할 수 있습니다.ls -l /proc/process_id/exestrace -p process_id
위치가 임시 디렉터리나 웹 서버 프로세스에서 쓸 수 있는 다른 위치 라면 exe시스템이 손상되었다고 확신할 수 있습니다. 어떤 사용자로 실행되고 있나요? 루트가 아닌 경우 피해가 제한될 수 있으며가능한그 후에는 정리할 필요가 없습니다. 그러나 이러한 일이 다시 발생하지 않도록 시스템을 지우고, 백업에서 복원하고, 시스템이 어떻게 손상되었는지 파악하는 것이 좋습니다.