procese ciudate in /boot
24 views
Skip to first unread message
Orban Zoltan
Dec 10, 2014, 4:25:54 AM12/10/14
to cj...@googlegroups.com
Salut.
Centos 7, instalat recent, toate update-urile la zi, expus la internet doar cu SSH.
Recent au inceput sa apara procese ciudate, cu nume care nu au sens, gen avmyfrqzge, aqivdiwocp, btriratpml, rzmbwarmxv, usrycmwcvm, in /boot, care apar pentru citeva secunde si dispar, se vad si cu ps si cu top. Data fiind ciclul lor de viata extrem de scurt e cam greu sa ii prinzi, dar am reusit cu unul si asta e rezultatul:
lsof -p 17379
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
avmyfrqzg 17379 root cwd DIR 8,3 4096 128 /
avmyfrqzg 17379 root rtd DIR 8,3 4096 128 /
avmyfrqzg 17379 root txt REG 8,1 662840 454310 /boot/avmyfrqzge (deleted)
avmyfrqzg 17379 root 0u CHR 1,3 0t0 1028 /dev/null
avmyfrqzg 17379 root 1u CHR 1,3 0t0 1028 /dev/null
avmyfrqzg 17379 root 2u CHR 1,3 0t0 1028 /dev/null
Evident ciudateniile astea maninca resurse la greu:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
672 root 20 0 34112 760 200 S 46.2 0.0 114:46.00 iqbuapqboq
Orice "sut" in directia buna ar fi foarte apreciat, e prima oara ca vad asa ceva.
Va multumesc.
Ovidiu Calbajos
Dec 10, 2014, 7:24:12 AM12/10/14
to cj...@googlegroups.com
Salut, poți să ne dai un output complet la netstat -tupln si ps auxf?
--
---
Ați primit acest mesaj deoarece sunteți abonat(ă) la grupul „Utilizatorii GNU/Linux din Cluj-Napoca” din Grupuri Google.
Pentru a vă dezabona de la acest grup și pentru a nu mai primi e-mailuri de la acesta, trimiteți un e-mail la adresa cjlug+un...@googlegroups.com.
Pentru mai multe opțiuni, accesați https://groups.google.com/d/optout.
Ovidiu Calbajos
Dec 10, 2014, 7:31:19 PM12/10/14
to cj...@googlegroups.com
Cel mai probabil ai fost hackuit :), salveaza-ti datele si reinstaleaza-ti distributia. Dupa reinstalare schimba-ti portul SSH in ceva random de 4 cifre.
https://www.centos.org/forums/viewtopic.php?t=50005--
Reply all
Reply to author
Forward
0 new messages