ОБНОВЛЕНИЕ
Также заметили, что через некоторое время
iptables -L
покажет новое правило разрешение доступа к порту 9001. Похоже, хостинг-провайдер пытается переопределить некоторые программы на сервере.Я убил его, и он перезапустился. Я подозреваю, что это программа, которую вставил мой провайдер облачного хостинга.
Свяжитесь с ними, чтобы спросить. Но я боюсь, что ваша система заражена руткитом:
reportserver=open.hichina.com
reportserver_port=3001
Взгляните на сетевые подключения:
# netstat -natp | grep :9001 | less
или вы, вероятно, захотите прослушать некоторые пакеты на этом порту:
# tcpdump -vv -s0 -c 500 tcp port 9001 -w /tmp/khostd.pcap
скопируйте на свой ноутбук и откройте с помощью Wireshark, чтобы узнать, что там написано.
rkhunter и chkrootkit также могут помочь, если вы обнаружите что-то сомнительное, лучший способ - это ... новая переустановка.
Определите его PID с помощью :
pidof khostd
pgrep khostd
и взгляните на этот / proc / $ (pidof khostd) /
.
Некоторая информация может помочь:
ls -l /proc/$(pidof khostd)/exe
ls -l /proc/$(pidof khostd)/fd
cat /proc/$(pidof khostd)/stat
cat /proc/$(pidof khostd)/status
Вы также можете использовать lsof
, чтобы перечислить все файловые дескрипторы, используемые этим процессом:
lsof -a -p `pidof khostd`
или посмотреть, что он делает с:
strace -p `pidof khostd` -o /tmp/khostd.strace