¿Cómo rastrear y eliminar el malware de Mac que está llamando? [duplicar]

ps l [pid] mostrará, entre otras cosas, el "ID del proceso principal" ( PPID ) del proceso. (Sin embargo, si el proceso principal ha salido, esa información se pierde y el PPID será 1.) ps eww [pid] enumerará sus variables de entorno, lo que puede dar una pista de dónde provino.

¿Estás seguro de que esto es malware y no es un comportamiento inesperado de algo que estás haciendo a propósito? ¿Ocurre incluso si no está ejecutando Terminal.app?

(Esto es solo un complemento de la respuesta correcta de Wim Lewis .)

Una vez que tenga el pid de su proceso sospechoso, aquí hay algunos comandos para Ayudarte a analizar lo que este proceso podría estar haciendo. Digamos que almacenó este pid en la variable _pid .

• lsof -p ${_pid}

  le proporcionará todos los archivos abiertos now

• opensnoop ${_pid}

  le mostrará todos los archivos durante este proceso en ejecución

Con estas ubicaciones de archivos, podrás determinar bastante rápidamente si se trata de un programa legítimo o no.

Si la contabilidad del sistema está activada en su sistema, lastcomm también le proporcionará los procesos que se ejecutaron justo antes de este sospechoso. Además, lastcomm le mostrará si uno de estos procesos permitía una escalada de privilegios (observe el indicador S ). Desafortunadamente, lastcomm no proporciona los argumentos pasados a un programa ni a su entorno ( *argv , *envp ).