Задать вопрос
IgorPI
@IgorPI

Что-то генерирует файлы в корне системы?

610ab4320052b907728091.png

Сервер для разработки, вроде бы нечего страшного, но каждые 30 сек появляться пустой файл.

-rw-r--r--   1 root root         0 Aug  4 15:09 .r.172.86.o
-rw-r--r--   1 root root         0 Aug  4 15:22 .r.172.87.l
-rw-r--r--   1 root root         0 Aug  4 15:22 .r.172.87.o
-rw-r--r--   1 root root         0 Aug  4 14:59 .r.172.88.l
-rw-r--r--   1 root root         0 Aug  4 14:59 .r.172.88.o
-rw-r--r--   1 root root         0 Aug  4 15:20 .r.172.89.l
-rw-r--r--   1 root root         0 Aug  4 15:19 .r.172.89.o
-rw-r--r--   1 root root         0 Aug  4 15:26 .r.172.8.l
-rw-r--r--   1 root root         0 Aug  4 15:26 .r.172.8.o
-rw-r--r--   1 root root         0 Aug  4 15:11 .r.172.90.l
-rw-r--r--   1 root root         0 Aug  4 15:11 .r.172.90.o
-rw-r--r--   1 root root         0 Aug  4 14:20 .r.172.91.l
-rw-r--r--   1 root root         0 Aug  4 14:20 .r.172.91.o
-rw-r--r--   1 root root         0 Aug  4 15:10 .r.172.92.l
-rw-r--r--   1 root root         0 Aug  4 15:10 .r.172.92.o
-rw-r--r--   1 root root        56 Aug  4 15:25 .r.172.93.l
-rw-r--r--   1 root root       303 Aug  4 15:25 .r.172.93.o
-rw-r--r--   1 root root        19 Aug  4 14:49 .r.172.94.l
-rw-r--r--   1 root root       101 Aug  4 14:49 .r.172.94.o
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.l
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.o
-rw-r--r--   1 root root        38 Aug  4 15:09 .r.172.96.l
-rw-r--r--   1 root root       202 Aug  4 15:09 .r.172.96.o
-rw-r--r--   1 root root         0 Aug  4 15:06 .r.172.97.l
-rw-r--r--   1 root root         0 Aug  4 15:06 .r.172.97.o
-rw-r--r--   1 root root         0 Aug  4 15:15 .r.172.98.l
-rw-r--r--   1 root root         0 Aug  4 15:15 .r.172.98.o
-rw-r--r--   1 root root        19 Aug  4 15:21 .r.172.99.l
-rw-r--r--   1 root root       101 Aug  4 15:21 .r.172.99.o
-rw-r--r--   1 root root         0 Aug  4 15:13 .r.172.9.l
-rw-r--r--   1 root root         0 Aug  4 15:13 .r.172.9.o


100 Уверен, что система заражена, кто-то юзает её и не из нашей команды.
Потому что появился какой-то пользователь, которого я потом удалил.

+ Ко всему были запрещены ряд утилит, такие как curl/htop/...
  • Вопрос задан
  • 109 просмотров
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
gbg
@gbg Куратор тега Linux
Любые ответы на любые вопросы
Если хотите скандалы, интриги, расслеования - снимите образ, потом отформатируйте и накатите бекап.

Не хотите - просто разверните бекап.

Нет бекапа - ССЗБ.
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Linux
software engineer
1. файлы созданы от рута, поэтому найти будет немного сложнее, создавать их может любой рутовый процесс.
2. Не похоже, что это крон - он не умеет в пол-минуты, минимальный интервал минута, поэтому скорее всего это какой-то уже запущенных процесс. Но для очистки совести можно и кроны просмотреть.
А что собственно в файлах?
Ответ написан
ValdikSS
@ValdikSS
Воспользуйтесь программой fatrace.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы