Я обнаружил подозрительный процесс на сервере Linux:
# ps ax
PID TTY STAT TIME COMMAND
...
31715 ? S 0:00 /tmp/.root.0.dir/.PqEvOn
...
Если я попытаюсь его убить, он останется.Если я сильно убью его (-9), он исчезнет, но возродится с новым именем.
Владелец / группа процесса: tomcat / www-data
Я попытался выполнить chkrootkit иrkhunter, но они не нашли ничего подозрительного.
# ls -al /tmp/.root.0.dir/
total 296
drwxrwxrwx 2 tomcat www-data 4096 set 26 11:44 ./
drwxrwxrwt 11 root root 282624 set 26 12:00 ../
-rwxrwxrwx 1 tomcat www-data 8488 set 26 11:39 .PqEvOn*
srwxrwxrwx 1 tomcat www-data 0 set 26 11:39 .root.0.00fff12f10aecb0d7=
Это небольшой двоичный файл, и он открывает сокет
# lsof -p 31715
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.PqEvOn 31715 tomcat cwd DIR 253,2 4096 2 /
.PqEvOn 31715 tomcat rtd DIR 253,2 4096 2 /
.PqEvOn 31715 tomcat txt REG 253,2 8488 1646 /tmp/.root.0.dir/.PqEvOn
.PqEvOn 31715 tomcat mem REG 253,2 134864 1294081 /lib/i386-linux-gnu/libpthread-2.23.so
.PqEvOn 31715 tomcat mem REG 253,2 1786484 1294094 /lib/i386-linux-gnu/libc-2.23.so
.PqEvOn 31715 tomcat mem REG 253,2 30660 1294077 /lib/i386-linux-gnu/librt-2.23.so
.PqEvOn 31715 tomcat mem REG 253,2 147688 1294080 /lib/i386-linux-gnu/ld-2.23.so
.PqEvOn 31715 tomcat 0u unix 0xffff88069ef91800 0t0 1097517 /tmp/.root.0.dir/.root.0.00fff12f10aecb0d7 type=DGRAM
Что я могу сделать сейчас для дальнейших исследований?
Спасибо