Как можно избавиться от вируса не сервере?

Question

[Vmedmen]

Добрый вечер друзья.

Происходит прямо сейчас. Сервер лежит.
У сервера проблемы. похоже на вирус. реулярно запускаются команды от рута ls, top, bash, pwm и тд. . После того как их убиваю они снова появляются через несколько секунд и грузят процессор так что сайт не работает.

Запускаются от рута. пример htop joxi.ru/MAj1yX8i4j9ld2

Пароль сразу поменял.
Подскажите что можно сделать.

Заранее спасибо.

Comments

[sim3x]

скрины на хабрасторадж

Answer 1

[Алексей Черемисин]

Если системные утилиты не подменили, то посмотрите дерево процессов через pstree.
Также можно посмотреть через /proc на сами процессы и посмотреть откуда у них ноги растут. Далее можно посмотреть что делают эти процессы через lsof.
Ну и останавливайте сервер, перезагружайтесь с резервного носителя, и выясняйте что это такое, и восстанавливайтесь с резервных копий.

Comments

[Vmedmen]

Спасибо. Проблема была в одном из контейнеров. Был открыт доступ из вне по ssh

Answer 2

[Макс]

вирус. чистил недавно клиенту сервак от такого. оно еще жуткий трафик генерирует, осторожно.
советую обратить внимание на crontab, там каждые 5 минут перезапускается эта гадость.
прибить можно, но гемор жуткий.