Je ne sais pas si mon grain de sel apporte quelque chose à la question, mais une recherche sur "hwm" dans le contenu des paquets debian ne retourne aucun résultat.
https://packages.debian.org/search?searchon=contents&keywords=hwm&mode=exactfilename&suite=stable&arch=any Envoyé avec la messagerie sécurisée Proton Mail. ------- Original Message ------- Le mercredi 31 mai 2023 à 10:35, Basile Starynkevitch <bas...@starynkevitch.net> a écrit : > On 5/31/23 09:55, BERTRAND Joël wrote: > > > Bonjour à tous, > > > > Hier soir, je me suis aperçu qu'un serveur ramait énormément. En > > regardant de près, j'ai trouvé un exécutable étrange : > > > > /dev/shm/hwm > > > > avec les droits de www-data:www-data, un fichier de configuration et un > > autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je > > n'ai pas noté de trafic réseau anormal. > > > > J'ai viré les trois fichiers en question et j'ai inspecté en profondeur > > le système, je n'ai rien trouvé de plus. Je pense savoir comment il a > > été déposé ici (mais aucune trace dans les logs). > > > > Si un processus actif de pid 1234 est suspect (par exemple résultat de > de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les > appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/ > (conserver la sortie ...) > > Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non > pas à supprimer les fichiers, mais à les copier ou renommer ailleurs > (par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec > les commandes suivantes > > > /bin/ls -l /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/stat /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/file /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon > > > Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en > > googlisant. > > > > Ma parano me ferait penser (sur un serveur publiquement accessible sur > Internet) à un virus informatique..... Ceux-ci existent sous Linux. > > > Si on veut comprendre un exécutable, on pourrait utiliser > https://github.com/binsec développé par des collègues du CEA. Dont > Sebastien Bardin en BCC. > > -- > Basile Starynkevitch bas...@starynkevitch.net > > (only mine opinions / les opinions sont miennes uniquement) > 92340 Bourg-la-Reine, France > web page: starynkevitch.net/Basile/
