Единственное решение:
У меня было такое однажды, когда я пытался удалить все зараженные файлы, но злоумышленник возвращался через несколько других файлов в обычном порядке. Экономьте свое время, не пытайтесь найти зараженные файлы, очистите Вещь!
Когда я столкнулся с похожей проблемой, я создал небольшой скрипт, подобный этому (он каждую секунду записывает дату и список процессов, запущенных с использованием его ЦП и ОЗУ):
#!/bin/sh
while true
do
date
ps faux
sleep 1
done >> /a/log/file
и я позволил ему работать в фоновом режиме. Это поможет вам понять, что и когда процесс становится сумасшедшим.
После этого вам нужно будет просмотреть /var/log/messages
и другие журналы (, один из сумасшедшей программы, возможно, ), чтобы точно определить вашу проблему.
Вы также можете установить atsar
, который предоставляет удивительный двоичный журнал со статистикой, такой как ввод-вывод, сетевая активность, процессор и так далее...
/!\ Warning:
Если вы запускаете этот скрипт достаточно долго, журнал может стать большим. Поместите файл журнала в место, где достаточно места на диске, иначе это может стать серьезной проблемой.
/!\ Warning 2:
Я понятия не имею, какова ваша настройка esxi. Однако, если по какой-либо причине диск стал отставать в ширину esxi; это может привести к значительной задержке и значительному использованию ЦП на виртуальной машине, если она полагается на ввод-вывод.
Как упомянул @sourcejedi, вы можете добавить синхронизацию в сценарий, чтобы гарантировать, что журнал будет записываться в случае жесткой перезагрузки. (Хотя я не уверен, что это необходимо, но два гнезда безопасности лучше, чем одно:
#!/bin/sh
LOGFILE="a/log/file"
echo "" > $LOGFILE
while true
do
date
ps faux
sync $LOGFILE
sleep 1
done >> $LOGFILE