adamkain Posted March 22, 2018 Share Posted March 22, 2018 Bom dia pessoal... Estou com um problema hoje... Percebi um aumento anormal no load e quando olhei pelo htop, encontrei esses processos Este usuário usa Wordpress, e acredito que seja algum tipo de script minerador. Pois tive alguns casos semelhantes em outros dominios há alguns dias atrás... Já atualizei o WP e instalei plugins de segurança, como o Wordfence, mas não resolveu. Encontrei alguns arquivos maliciosos na public_html e já os excluí, mas eles acabam voltando... Se eu finalizo esses processos, depois um tempo eles voltam a ser executados... Não consigo encontrar onde está esse arquivo 'template' apesar de mostrar o caminho dele (./template) Usei esses comandos abaixo, mas nenhum me deu o caminho dele... - ll /proc/1811/exe - pwdx 1811 - lsof -p 1811 | grep cwd Conseguem me dar alguma dica ? 0 Quote Link to comment Share on other sites More sharing options...
navegantenarede Posted March 22, 2018 Share Posted March 22, 2018 Já tentou com readlink? Quais as saídas desses comandos? Dá um olhada nas sugestões do SO também: https://unix.stackexchange.com/questions/94357/find-out-current-working-directory-of-a-running-process (além das que você tentou) 0 Quote Link to comment Share on other sites More sharing options...
pluginscpanelwhm Posted March 22, 2018 Share Posted March 22, 2018 Olá, já tentou um find para ler todos arquivos do usuário buscando a palavra template? dentro da conta do usuário você executa: find . | xargs grep -s -a -i template | cut -d : -f 1 | uniq 0 Quote Link to comment Share on other sites More sharing options...
Thiago Santos Posted March 22, 2018 Share Posted March 22, 2018 Eu usaria o SiteLock, ou outro anti-malware para identificar, limpar e resolver. Posteriormente atualizar todos plugins e temas, todos com versões originais, aí termina com esse estresse. 0 Quote Link to comment Share on other sites More sharing options...
adamkain Posted March 22, 2018 Author Share Posted March 22, 2018 Eu matei os processos logo após fazer o post, pra abaixar o load né ?! Tava ciente que logo mais eles iam voltar... E até agora nada... Vamos ver de madrugada. Assim q eles voltarem, vou tentar as sugestões e depois posto aqui novamente... No mais, obrigado pela ajuda pessoal... 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.