Кто запускает процесс?

[valrust]

вот эти вот строчки c ./python3 и ./python2 здесь должны быть? и запуск php с чем-то там из tmp...

Эти процессы с большой вероятностью говорят, что Ваш VPS взломан. Вероятно есть уязвимость в коде сайта, который хостится на этом VPS, и через нее злоумышленник запускает свой код. Вам нужно срочно "лечить" сервер или лучше все переустановить и обновить всё ПО в том числе и код сайта до последней версии.

[andytux]

andytux, а у меня "dpkg -S" не нашёл соответствующего ему пакета.

Честно говоря, не знаю что ответить, кроме того, что "давно и не глядя" удаляю этот пакет.
Peter_I, помнится ты говорил, что не пользуешься Синаптиком. Следующее рассматривайте не как серьёзный ответ, а как небольшой экспромт-шутку.

Вот такой коллаж у меня сложился.
А что должен был найти "dpkg -S"?.. Справа-внизу, в окне терминала, у меня нашёл "некоторые остатки".
Справа-вверху, в окне Синаптика, информация об этом пакете, согласно "индикации Синаптика" - он не установлен.
Слева-вверху, в окне MC, поиск его средствами в каталоге /var/lib/dpkg, если посмотреть выделенную "status", то там написано, что установлен.
Сейчас заглянул в бэкап ubuntu 24.04.1, сделанный сразу после установки. Там есть бинарник /usr/bin/unattended-upgrade. В текущей системе (в которой сделан скриншот) такого бинарника нет.
Может ты имел ввиду Xubuntu?.. Заглянул в её бэкап. Всё аналогично. Сразу после установки - бинарник есть, после удаления - бинарника нет.

[Peter_I]

andytux, да, у меня xubuntu. "dpkg -l" выводит пакет unattended-upgrades среди других, "dpkg -L" выводит список его файлов, но "dpkg -S /etc/apt/apt.conf.d/50unattended-upgrades" пакета не находит. Возможно, у меня что-то повреждено.

[andytux]

Peter_I, а ты уверен, что этой команде нужно передавать полное имя какого-то конкретного файла?..
Смотрю ещё раз "глазами" в xubuntu 24.04.1. В бэкапе "до удаления" есть файл /etc/apt/apt.conf.d/50unattended-upgrades, в бэкапе "после удаления" такого файла нет.
А насчёт повреждено, в "коллаже" для этого и показал противоречивую информацию.

[CyberDemon]

Эти процессы с большой вероятностью говорят, что Ваш VPS взломан. Вероятно есть уязвимость в коде сайта, который хостится на этом VPS, и через нее злоумышленник запускает свой код. Вам нужно срочно "лечить" сервер или лучше все переустановить и обновить всё ПО в том числе и код сайта до последней версии.

Я почти уверен был в этом Но я так понимаю, взломали только одного юзера, от имени и в tmp которого все это и запускается?
Переустановить все будет весьма сложно, это уже крайний случай
Чем лечить? Установил ClamAV, пользы от него не видно
Имеет ли смысл Ubuntu 20 до 24 апгрейдить или могут вылезти всякие несовместимости (php, mysql и прочее)?
Сейчас я пока что в каталоге tmp у юзера создал пустой файл python2.64 от root, назначил ему 0444 права и еще до кучи chattr +i. Теперь от юзера он не запускается и ничего с ним сделать нельзя, второй день тишина, никакой активности в трафике не наблюдается.
Где вручную заразу искать - ума не приложу.

[Peter_I]

andytux, да, я всегда при вызове "dpkg -S" указывал имя файла с полным путём. Однако сейчас ввёл

Код: [Выделить]

dpkg -S 50unattended-upgradesи получил имя пакета. При этом в "man dpkg" не говорится, что надо вводить имя с полным путём, сказано, что надо вводить образец для поиска. Не знаю, почему я когда-то стал вводить полное имя.

[ALiEN]

CyberDemon, случайно vestacp не установлена?

[CyberDemon]

CyberDemon, случайно vestacp не установлена?

Нет, Hestia

[ALiEN]

Ну судя по всему это она.
ТЫК

I saw there’s a script for deleting session files stored here

[CyberDemon]

Ну судя по всему это она.
ТЫК

I saw there’s a script for deleting session files stored here

У другого юзера на VPS в tmp скапливается множество sess_* файлов, судя по всему, результат работы php скриптов, но они регулярно чистятся (я их даты создания посмотрел).
У этого юзера такого нет, тут другое.
Или я что-то не понял?

[ALiEN]

Не знаю, как работает hestia. Лично мне ssh достаточно.

Просто загуглил, что может создавать tmp в домашней папке.