strange processes in process manager
hello, i found these 2 process in the process manager the first one running by user and the second one running by root, does that means my server is compromised ?
=== first task running by cpaneluser although it doesn't has ssh access
find /home/cpaneluser/public_html/wp-content ( ( ( ( -type f ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 004 ) -o ( -perm 040 ) -o ( -perm 044 ) -o ( -perm 200 ) -o ( -perm 204 ) -o ( -perm 240 ) -o ( -perm 244 ) -o ( -perm 400 ) -o ( -perm 404 ) -o ( -perm 440 ) -o ( -perm 444 ) -o ( -perm 600 ) -o ( -perm 604 ) -o ( -perm 640 ) -o ( -perm 644 ) ) ) ) ) -o ( ( ( -type d ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 001 ) -o ( -perm 004 ) -o ( -perm 005 ) -o ( -perm 010 ) -o ( -perm 011 ) -o ( -perm 014 ) -o ( -perm 015 ) -o ( -perm 040 ) -o ( -perm 041 ) -o ( -perm 044 ) -o ( -perm 045 ) -o ( -perm 050 ) -o ( -perm 051 ) -o ( -perm 054 ) -o ( -perm 055 ) -o ( -perm 100 ) -o ( -perm 101 ) -o ( -perm 104 ) -o ( -perm 105 ) -o ( -perm 110 ) -o ( -perm 111 ) -o ( -perm 114 ) -o ( -perm 115 ) -o ( -perm 140 ) -o ( -perm 141 ) -o ( -perm 144 ) -o ( -perm 145 ) -o ( -perm 150 ) -o ( -perm 151 ) -o ( -perm 154 ) -o ( -perm 155 ) -o ( -perm 200 ) -o ( -perm 201 ) -o ( -perm 204 ) -o ( -perm 205 ) -o ( -perm 210 ) -o ( -perm 211 ) -o ( -perm 214 ) -o ( -perm 215 ) -o ( -perm 240 ) -o ( -perm 241 ) -o ( -perm 244 ) -o ( -perm 245 ) -o ( -perm 250 ) -o ( -perm 251 ) -o ( -perm 254 ) -o ( -perm 255 ) -o ( -perm 300 ) -o ( -perm 301 ) -o ( -perm 304 ) -o ( -perm 305 ) -o ( -perm 310 ) -o ( -perm 311 ) -o ( -perm 314 ) -o ( -perm 315 ) -o ( -perm 340 ) -o ( -perm 341 ) -o ( -perm 344 ) -o ( -perm 345 ) -o ( -perm 350 ) -o ( -perm 351 ) -o ( -perm 354 ) -o ( -perm 355 ) -o ( -perm 400 ) -o ( -perm 401 ) -o ( -perm 404 ) -o ( -perm 405 ) -o ( -perm 410 ) -o ( -perm 411 ) -o ( -perm 414 ) -o ( -perm 415 ) -o ( -perm 440 ) -o ( -perm 441 ) -o ( -perm 444 ) -o ( -perm 445 ) -o ( -perm 450 ) -o ( -perm 451 ) -o ( -perm 454 ) -o ( -perm 455 ) -o ( -perm 500 ) -o ( -perm 501 ) -o ( -perm 504 ) -o ( -perm 505 ) -o ( -perm 510 ) -o ( -perm 511 ) -o ( -perm 514 ) -o ( -perm 515 ) -o ( -perm 540 ) -o ( -perm 541 ) -o ( -perm 544 ) -o ( -perm 545 ) -o ( -perm 550 ) -o ( -perm 551 ) -o ( -perm 554 ) -o ( -perm 555 ) -o ( -perm 600 ) -o ( -perm 601 ) -o ( -perm 604 ) -o ( -perm 605 ) -o ( -perm 610 ) -o ( -perm 611 ) -o ( -perm 614 ) -o ( -perm 615 ) -o ( -perm 640 ) -o ( -perm 641 ) -o ( -perm 644 ) -o ( -perm 645 ) -o ( -perm 650 ) -o ( -perm 651 ) -o ( -perm 654 ) -o ( -perm 655 ) -o ( -perm 700 ) -o ( -perm 701 ) -o ( -perm 704 ) -o ( -perm 705 ) -o ( -perm 710 ) -o ( -perm 711 ) -o ( -perm 714 ) -o ( -perm 715 ) -o ( -perm 740 ) -o ( -perm 741 ) -o ( -perm 744 ) -o ( -perm 745 ) -o ( -perm 750 ) -o ( -perm 751 ) -o ( -perm 754 ) -o ( -perm 755 ) ) ) ) ) ) -print -quit
=== second task running by root
sudo -E -u cpaneluser cagefs_enter.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content '(' '(' '(' '(' -type f ')' '(' -user cpaneluser ')' '(' '!' '(' '(' -perm 000 ')' -o '(' -perm 004 ')' -o '(' -perm 040 ')' -o '(' -perm 044 ')' -o '(' -perm 200 ')' -o '(' -perm 204 ')' -o '(' -perm 240 ')' -o '(' -perm 244 ')' -o '(' -perm 400 ')' -o '(' -perm 404 ')' -o '(' -perm 440 ')' -o '(' -perm 444 ')' -o '(' -perm 600 ')' -o '(' -perm 604 ')' -o '(' -perm 640 ')' -o '(' -perm 644 ')' ')' ')' ')' ')' -o '(' '(' '(' -type d ')' '(' -user cpaneluser ')' '(' '!' '(' '(' -perm 000 ')' -o '(' -perm 001 ')' -o '(' -perm 004 ')' -o '(' -perm 005 ')' -o '(' -perm 010 ')' -o '(' -perm 011 ')' -o '(' -perm 014 ')' -o '(' -perm 015 ')' -o '(' -perm 040 ')' -o '(' -perm 041 ')' -o '(' -perm 044 ')' -o '(' -perm 045 ')' -o '(' -perm 050 ')' -o '(' -perm 051 ')' -o '(' -perm 054 ')' -o '(' -perm 055 ')' -o '(' -perm 100 ')' -o '(' -perm 101 ')' -o '(' -perm 104 ')' -o '(' -perm 105 ')' -o '(' -perm 110 ')' -o '(' -perm 111 ')' -o '(' -perm 114 ')' -o '(' -perm 115 ')' -o '(' -perm 140 ')' -o '(' -perm 141 ')' -o '(' -perm 144 ')' -o '(' -perm 145 ')' -o '(' -perm 150 ')' -o '(' -perm 151 ')' -o '(' -perm 154 ')' -o '(' -perm 155 ')' -o '(' -perm 200 ')' -o '(' -perm 201 ')' -o '(' -perm 204 ')' -o '(' -perm 205 ')' -o '(' -perm 210 ')' -o '(' -perm 211 ')' -o '(' -perm 214 ')' -o '(' -perm 215 ')' -o '(' -perm 240 ')' -o '(' -perm 241 ')' -o '(' -perm 244 ')' -o '(' -perm 245 ')' -o '(' -perm 250 ')' -o '(' -perm 251 ')' -o '(' -perm 254 ')' -o '(' -perm 255 ')' -o '(' -perm 300 ')' -o '(' -perm 301 ')' -o '(' -perm 304 ')' -o '(' -perm 305 ')' -o '(' -perm 310 ')' -o '(' -perm 311 ')' -o '(' -perm 314 ')' -o '(' -perm 315 ')' -o '(' -perm 340 ')' -o '(' -perm 341 ')' -o '(' -perm 344 ')' -o '(' -perm 345 ')' -o '(' -perm 350 ')' -o '(' -perm 351 ')' -o '(' -perm 354 ')' -o '(' -perm 355 ')' -o '(' -perm 400 ')' -o '(' -perm 401 ')' -o '(' -perm 404 ')' -o '(' -perm 405 ')' -o '(' -perm 410 ')' -o '(' -perm 411 ')' -o '(' -perm 414 ')' -o '(' -perm 415 ')' -o '(' -perm 440 ')' -o '(' -perm 441 ')' -o '(' -perm 444 ')' -o '(' -perm 445 ')' -o '(' -perm 450 ')' -o '(' -perm 451 ')' -o '(' -perm 454 ')' -o '(' -perm 455 ')' -o '(' -perm 500 ')' -o '(' -perm 501 ')' -o '(' -perm 504 ')' -o '(' -perm 505 ')' -o '(' -perm 510 ')' -o '(' -perm 511 ')' -o '(' -perm 514 ')' -o '(' -perm 515 ')' -o '(' -perm 540 ')' -o '(' -perm 541 ')' -o '(' -perm 544 ')' -o '(' -perm 545 ')' -o '(' -perm 550 ')' -o '(' -perm 551 ')' -o '(' -perm 554 ')' -o '(' -perm 555 ')' -o '(' -perm 600 ')' -o '(' -perm 601 ')' -o '(' -perm 604 ')' -o '(' -perm 605 ')' -o '(' -perm 610 ')' -o '(' -perm 611 ')' -o '(' -perm 614 ')' -o '(' -perm 615 ')' -o '(' -perm 640 ')' -o '(' -perm 641 ')' -o '(' -perm 644 ')' -o '(' -perm 645 ')' -o '(' -perm 650 ')' -o '(' -perm 651 ')' -o '(' -perm 654 ')' -o '(' -perm 655 ')' -o '(' -perm 700 ')' -o '(' -perm 701 ')' -o '(' -perm 704 ')' -o '(' -perm 705 ')' -o '(' -perm 710 ')' -o '(' -perm 711 ')' -o '(' -perm 714 ')' -o '(' -perm 715 ')' -o '(' -perm 740 ')' -o '(' -perm 741 ')' -o '(' -perm 744 ')' -o '(' -perm 745 ')' -o '(' -perm 750 ')' -o '(' -perm 751 ')' -o '(' -perm 754 ')' -o '(' -perm 755 ')' ')' ')' ')' ')' ')' -print -quit
-
Hey there! This does look like it could be a potential security issue on the system, so I'd recommend reaching out to your host or creating a ticket so this can be investigated - I'd hate to steer you wrong or assume the system isn't comprised and have you do anything that may lead to data loss.
0
Please sign in to leave a comment.
Comments
1 comment