如何找到执行特定命令的文件或请求？ DAMP

Question

所以，我只是用debian打开我的GCP服务器监视器，并看到CPU已经100％利用了近3个小时。

我运行顶部的命令，看到一些命令运行www-data命名phptASyGL_53bhc正在吃100％的CPU。我恢复了apache2并消失了。

PID USER  PR NI VIRT RES SHR S %CPU %MEM  TIME+ COMMAND           
11254 www-data 20 0 184688 9408 4392 S 94.2 0.2 130:11.33 phptASyGL_53bhc 

但是我怎么找到执行这个命令的东西以及它的影响呢？它对我有害吗？

我看过access.logs，它主要有内部虚拟连接。

other_vhosts_logs在它开始的时候也没有什么意思。获取/发布请求到我的网站。

我不确定在哪里挖，以防止发生这种情况。

Answer 1

我做了一点搜索，发现一个命令：

pwdx

等待的过程中再次出现：

PID USER  PR NI VIRT RES SHR S %CPU %MEM  TIME+ COMMAND           
27512 www-data 20 0 184688 9132 4124 S 86.5 0.2 421:48.47 phpbGE2XL_53bhc 

键入：

pwdx 27512 

了服务器响应指向网站文件夹：

27512: /var/www/magnus/siteapps/joomla-6611/htdocs/administrator/components/com_tags/models 

我认为最好开始更新这个网站或删除。