Linux에서 프로세스의 출처를 어떻게 알 수 있나요?

Linux에서 프로세스의 출처를 어떻게 알 수 있나요?

저희 회사에서는 Fedora 14를 사용하고 있습니다. 우리 개발자들은 Python 코드를 사용하여 문서를 처리합니다. 모두 루트로 실행됩니다. 어떻게든 그들이 뭔가를 했고 파일이 들어와 특정 IP에 수많은 연결을 만들어 전체 네트워크를 막았습니다. 우리는 이 문제를 해결하려고 노력합니다. 에서 /usr/bin우리는 이러한 연결을 생성하는 일부 더러운 바이너리를 발견했습니다. 바이너리 파일을 삭제하면 /usr/bin동일한 파일이 다른 이름으로 다시 생성되고 IP에 대한 연결이 다시 시작됩니다.

이 실행 파일을 생성하는 프로그램을 찾는 방법이 있습니까 /usr/bin?

답변1

이는 DDoS 트로이 목마처럼 보입니다. 이러한 트로이 목마의 대부분은 cronjob에서 발견됩니다. cron 데몬을 중지하고 및 파일을 확인하여 /etc/crontab이러한 /etc/cron.*파일을 생성하는 cronjob이 여러 개 있는지 확인하세요.

답변2

현재 실행 파일의 경로를 보려면 다음을 참조하세요 /proc/$PID/exe.

ls -l /proc/$PID | grep exe

관련 정보