Mixer7b
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго дня! Имеется сервер на Centos 6, на нем в придачу к прочему стоит сайт на htppd. Недавно через сайт взломали сервер и видать закинули какой то вредоносный скрипт. Исходящий трафик по жесткому засирал канал и ДДосил на определенный IP. Через Iptables я запретил исходящий трафик на этот IP и сеть поднялась. Но остались процессы которые до сих пор пытаются ДДосить, в итоге используют ресурсы сервера. Так вот вопрос, как найти этот скрипт? Куда смотреть? Что и в каких логах искать? Возможно ли по PID'у процесса определить откуда и какой скрипт выполняется?
Вот эти процессы в top:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3674 apache 20 0 31992 3148 552 R 100.0 0.0 705:44.29 perl
7247 apache 20 0 31816 3512 1040 R 99.5 0.0 3293:38 perl
7345 apache 20 0 31816 3528 1064 R 99.5 0.0 2421:54 perl
28622 apache 20 0 31816 3520 1048 R 97.6 0.0 13687:42 perl
7329 apache 20 0 31816 3524 1064 R 89.8 0.0 2117:39 perl |
