Командная строка может быть изменена, если процесс изменяет argv [0]. Попробовать ls -l /proc/[pid]/exe
От man 5 proc
этот файл является символьной ссылкой, содержащей фактический путь выполняемой команды. Эта символьная ссылка может обычно разыменовываться; попытка открыть его откроет исполняемый файл. Можно даже ввести/proc / [число]/exe для выполнения другой копии того же исполняемого файла, как выполняется процессом [число]. В многопоточном процессе содержание этой символьной ссылки не доступно, если основной поток уже завершился
ps auxwf | less
высказывает Вам "лесное мнение" процессов, которые могут показать Вам, какой процесс запустил этот процесс (если руткит не скрывает его, или родитель приложения вышел, и это было повторно порождено к init).
Это было бы главным образом академическим и вероятно просто timewaster, но strings -n 10 /proc/[pid]/mem
могла бы быть забава наблюдать прокрутку мимо. Вы могли также echo 0x7 > /proc/[pid]/coredump_filter
и используйте gdb gcore
для принуждения coredump со всем возможным в нем но затем процесс умирает, который мог заблокировать дальнейший анализ.
Но определенно послушайте совет Arenstar. Создайте резервную копию данных только, восстановите все исполняемый файл от резервных копий и запуститесь. Необходимо, вероятно, восстановить веб-сайт от резервных копий также, мог быть злонамеренный JavaScript, добавленный к каждому HTML или php файлу. Если Вы рассмотрите судебный иск, то Вы захотите просто отложить машину, отключите ее от сети и остановите то, что это, Вы делаете, пока судебно-медицинские эксперты не сделали свое задание.
Проблема была в том, что я неправильно поместил config.ru в папку / etc / puppet / rack / public
, переместил его в / etc / puppet / rack
. Теперь все работает нормально.
Не имеет отношения к проблеме, но стоит отметить:
изменил конфигурацию nginx server_name с
server_name 0.0.0.0;
на
server_name _;
, а также снова включил SELinux (моя система была настроена на разрешающую).