Неизвестный PHP скрипт, работающий в фоновом режиме моей системы, который я не могу найти и который появляется каждый раз, когда я его убиваю.
Немного информации от ps о процессе.
ps -Flww -p 280378
F S UID PID PPID C PRI NI ADDR SZ WCHAN RSS PSR STIME TTY TIME CMD
0 R root 280378 4725 99 80 0 - 6487 - 19328 2 15:47 ? 00:01:10 /usr/bin/php /var/www/bin/update-payments.php
/var/www/bin/update-payments.php
не существует, там нет даже директории / var / www / bin
. Я не помню, чтобы когда-либо создавал php файл с таким именем.
Как мне найти источник этого процесса и остановить его?
Это не ответ, однако у меня еще недостаточно репутации, чтобы оставить комментарий.
Имеет ли ваш файл /usr/bin/php правильный размер? Может быть, он был взломан и заменен дефектным/вредоносным?
Пробовали ли вы переименовать файл /usr/bin/php во что-нибудь другое, чтобы посмотреть, будет ли этот процесс по-прежнему запускаться?
Поскольку для работы PHP необходим веб-сервер, вы можете остановить веб-сервер, чтобы убить процесс PHP. Однако прежде чем делать это, вы можете проверить запущенные службы, чтобы увидеть, нет ли там чего-нибудь подозрительного:
systemctl list-units --all --type=service --no-pager
Это даст вам список из 100+ служб. Посмотрите, какие из них активны и что они делают. Если вы не узнаете конкретную службу, запустите ее через поисковую систему и посмотрите, что появится в результате.
Если вы не можете найти ничего подозрительного, выключите веб-сервер и загляните в каталоги /var/log/
и /var/log/apache
, чтобы посмотреть, не жалуется ли что-нибудь на то, что веб-сервер исчез.
Остановка Apache:
sudo service apache2 stop
Остановка nginx:
sudo service nginx stop
Надеюсь, это поможет вам отследить ошибочный процесс.