前のサーバーに、あるプログラムをインストールしたらウィルスも入ってしまった。
/boot/
/etc/rc.d/
に、消しても消してもすぐに新しいファイル(英字10文字ランダム)が作成されるようなしくみ。
変なプロセスがいっぱい走る。
過負荷になる。
自力で削除駆除できなかったウイルスは初めて。
初期化するしかないのか？

これと同じ症状。

[tor-relays] My VPS relay has just been hacked

ps axuf すると、一体誰がこんなコマンドを打っているのかわからない。

---

root      8920 12.1  0.0 264352   896 ?        Ssl  09:54  27:22 gnome-terminal

root     14297  0.0  0.0 100972   600 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     22725  0.0  0.0   6280   532 ?        Ss   13:39   0:00 cat resolv.conf

root     22728  0.0  0.0   6280   528 ?        Ss   13:39   0:00 netstat -an

root     22729  0.0  0.0   6280   532 ?        Ss   13:39   0:00 netstat -an

root     22732  0.0  0.0   6280   528 ?        Ss   13:39   0:00 ifconfig eth0

root     22734  0.0  0.0   6280   532 ?        Ss   13:39   0:00 ps -ef

root     22741  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     22744  0.0  0.0   6280   528 ?        Ss   13:39   0:00 route -n

root     22747  0.0  0.0   6280   528 ?        Ss   13:39   0:00 whoami

root     22749  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sh

root     22750  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     14297  0.0  0.0 100972   624 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     23147  0.0  0.0 168084   632 ?        Ssl  13:41   0:00 netstat -an

root     23184  0.0  0.0   6280   528 ?        Ss   13:41   0:00 sh

root     23185  0.0  0.0   6280   532 ?        Ss   13:41   0:00 netstat -antop

root     23190  0.0  0.0   6280   532 ?        Ss   13:41   0:00 grep "A"

root     23191  0.0  0.0   6280   528 ?        Ss   13:41   0:00 cat resolv.conf

root     23193  0.0  0.0   6280   528 ?        Ss   13:41   0:00 who

---
lsof -p **** してみると、外部アドレスと接続されていることがわかる。

# lsof -p  ****
root@s8:~# lsof -i :8002
COMMAND     PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
kypqiyshj 11079 root    3u  IPv4 814329202      0t0  TCP s8.myserver***.net:44013->103.25.9.245:teradataordbms (SYN_SENT)