8345 root 20 0 51008 1192 204 S 399 0.0 81:40.58 cevkzoveqf 发现这个进程占用系统 cpu , 399%, kill 掉过一会又会跑起来 通过 proc 下,找到了自动运行这个进程的脚本 这个脚本在 /boot/下 我把脚本删除,过会又会生成另一个脚本,继续跑这个进程来占用服务器的资源 我在 crontab 下也没找到任何跑这个脚本的任务
有什么办法可以查到这个脚本会删掉又继续出现的原因吗
1
znoodl 2016-04-18 12:53:49 +08:00 via iPhone
应该是有其他进程,你看下是哪个程序生成的脚本, lsof ,不过被入侵了还是重装下比较好
|
2
Pastsong 2016-04-18 12:55:21 +08:00
重装下吧,这种只要有一个脚本没清干净都很麻烦
|
3
22too 2016-04-18 13:22:26 +08:00
既然程序 root 权限都有了,你还是重新安装一下吧
|
4
HanningWu 2016-04-18 13:55:55 +08:00 via iPhone 1
betacat. 还是不要管的好,小心性命之忧(手动滑稽)
|
5
evenno OP 谢谢各位,还是重装吧,估计后门太多
|
6
yanwen 2016-04-18 14:23:09 +08:00
我有个思路。不知道对不对。。
先用 ufw 禁止掉所有的端口,然后开放一个特殊的端口让自己访问就好。 然后再传一个 scp 的执行文件上去,进行文件备份。备份好重装系统。。 |
7
kaneg 2016-04-18 14:45:04 +08:00
检查下在 /etc/rc.local 之类启动就执行的脚本中有无可疑脚本,有则清除,然后重启。
不过如果系统文件都被替换过就很难恢复了。 |
8
SlipStupig 2016-04-18 14:47:38 +08:00
chrootkit 看一下能不能看到什么异常
|
9
realpg 2016-04-18 14:52:45 +08:00
赶紧重装吧……
看楼主描述,没有专业熟悉 linux 底层的 devops ,各种 rootkit 你找得全? |
10
fcicq 2016-04-18 15:05:28 +08:00
拆硬盘在正常的系统里备份, 原系统不要再给启动的机会了.
|
11
sefemp 2016-04-18 15:09:42 +08:00
我的 aliyun 和 lz 出现了相同的问题
进程名是一串随机字符串, kill 了又会起来 cpu 占满,不停发包。。。 |
12
aksoft 2016-04-18 15:22:58 +08:00
被当 J 了
|
13
KKKKKK 2016-04-18 16:45:48 +08:00 via Android
rm -rf /
然后重启 解决一切问题 |
17
Ansen 2016-04-18 19:09:25 +08:00
@hjc4869 我还是没有明白, rm -rf 是删除硬盘上的文件,主板固件应该在主板上的,是不会放到硬盘里面的吧?没听说哪家主板把固件放硬盘里面呀
|
18
hjc4869 2016-04-18 19:31:13 +08:00
@Ansen UNIX 思想,一切皆文件。 rm -rf /是删除文件而不是删除硬盘上的文件,你用 df 命令可以看到这些文件分别来自哪里,并不都是硬盘的。
|
19
Mireas 2016-04-18 19:46:26 +08:00
我的服务器最近也无故占用爆表,我的 root 密码就三个数字....看来要加强防御...
|
20
ixinshang 2016-04-18 20:34:53 +08:00
最近三个服务器有发包异常,现在全部限制端口流量了,这个月用完,不用了,新机器采用密匙验证,防火墙, f2b ! 不知道还需要强化些啥! 请前辈们指导!
|
21
lotina69 2016-04-19 11:18:55 +08:00
可以查看下进程所在目录,然后用锁定该目录,删除感染文件,这个可能感染的比较多一些,另外查看下 init.d 和 rc.local 里是否有自启动的进程之类。当然最简单的就是重装。。
|