Возможный дубликат:
Мой сервер был взломан АВАРИЙНАЯ СИТУАЦИЯ
Я вижу странное TCP-соединение 149.9 .1.16: ircd и на нем запущена служба Perl , и этот процесс создает огромную нагрузку на сервер IPV4 TCP 3u MYIP: 58449 -> 149.9.1.16:ircd ESTABLISHED
могу ли я знать, что это это вредоносное ПО или любая другая служба, работающая и потребляющая ресурсы моего сервера Данные моей операционной системы: centos5.5
Если это не то, чего вы ожидаете, тогда скорее всего, это вредоносное ПО. Единственное реальное решение - выключить систему. Получите изображение для последующего анализа. Произведите ядерную бомбардировку системы с орбиты, а затем восстановите ее из заведомо исправной резервной копии - это единственный способ быть уверенным.
Это плохо - похоже, что ваш сервер является частью ботнета.
Если вы не знаете, где выполняется процесс, проверьте информацию о нем (pid - это идентификатор процесса) :
ls -l /proc/'pid'/fd cat /proc/'pid'/cmdline
Найдите плохой сценарий и уничтожьте его. Я думаю, он находится в / tmp, / var / tmp или в определенном временном каталоге для вашего веб-сервера. Вполне вероятно, что этот сценарий был загружен через плохо закодированные веб-страницы; найди и отремонтируй.