我的服务器（hadoop集群）受到攻击。我现在知道了攻击过程的ID。我得到以下信息 "ls -l /proc/PROCESS-ID" :

lrwxrwxrwx 1 yarn yarn 0 Jun 28 11:37 cwd -> /vdb2/yarn/nm/usercache/dr.who/appcache/application_1581355054462_0270/container_1581355054462_0270_02_000001 (deleted)   

lrwxrwxrwx 1 yarn yarn 0 Jun 28 11:37 exe -> /vdb2/yarn/nm/usercache/dr.who/appcache/application_1581355054462_0270/container_1581355054462_0270_02_000001/sora.x86 (deleted).

我已经禁止了攻击者的ip。但新的攻击过程仍在创建中。所以我认为有些文件安装在服务器上，并复制到执行路径。但我不知道如何找出这些源病毒文件。我试着寻找 sora.x86 低于 "/" ，但什么也没找到。
更新：我还尝试搜索 sora.x86 （被伦敦警察局发现），也没发现什么