Debian 8.5에서 다음 위치에서 이상한 프로세스와 파일을 발견했습니다 /tmp.
file "cool" is owned by root, group=postgres<br>
file "Injection.sh", "zeroteam.so", "zteam"
이러한 파일이 존재하는 이유는 무엇입니까? 그들이 무엇을 하고 있는지 어떻게 알 수 있나요?
업데이트/편집:
나는 뭔가를 발견했습니다. 따라서 postgres 사용자가 다운로드한 악성 코드처럼 보이며 알 수 없는 IP에서 다양한 파일을 다운로드하는 postgresql-log 항목을 볼 수 있습니다.
그들은 이것을 어떻게 하는가? 나는 이것이 기본 공개 모드와 관련이 있다고 생각합니다. 맞습니까?
외부에서 데이터베이스에 접근하는 것을 모두 방지하기 위해 업데이트된 구성으로 데이터베이스를 다시 시작했습니다. 이것이 충분한지 아니면 시스템을 완전히 재구축해야 하는지 잘 모르겠습니다.
추가 정보를 주시면 감사하겠습니다.