Bom dia pessoal...

Estou com um problema hoje... Percebi um aumento anormal no load e quando olhei pelo htop, encontrei esses processos

 

Este usuário usa Wordpress, e acredito que seja algum tipo de script minerador. Pois tive alguns casos semelhantes em outros dominios há alguns dias atrás...

Já atualizei o WP e instalei plugins de segurança, como o Wordfence, mas não resolveu.

Encontrei alguns arquivos maliciosos na public_html e já os excluí, mas eles acabam voltando... 
Se eu finalizo esses processos, depois um tempo eles voltam a ser executados...

Não consigo encontrar onde está esse arquivo 'template' apesar de mostrar o caminho dele (./template)

Usei esses comandos abaixo, mas nenhum me deu o caminho dele...
- ll /proc/1811/exe
- pwdx 1811
- lsof -p 1811 | grep cwd

Conseguem me dar alguma dica ?

Já tentou com readlink? Quais as saídas desses comandos?

 

Dá um olhada nas sugestões do SO também: https://unix.stackexchange.com/questions/94357/find-out-current-working-directory-of-a-running-process (além das que você tentou)

Olá,
já tentou um find para ler todos arquivos do usuário buscando a palavra template?
dentro da conta do usuário você executa:
 find . | xargs grep -s -a -i template | cut -d : -f 1 | uniq 

Eu usaria o SiteLock, ou outro anti-malware para identificar, limpar e resolver. Posteriormente atualizar todos plugins e temas, todos com versões originais, aí termina com esse estresse.

Eu matei os processos logo após fazer o post, pra abaixar o load né ?!
Tava ciente que logo mais eles iam voltar... E até agora nada... Vamos ver de madrugada.

Assim q eles voltarem, vou tentar as sugestões e depois posto aqui novamente...

No mais, obrigado pela ajuda pessoal...