V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 3664 days ago, the information mentioned may be changed or developed.
8345 root 20 0 51008 1192 204 S 399 0.0 81:40.58 cevkzoveqf 发现这个进程占用系统 cpu , 399%, kill 掉过一会又会跑起来 通过 proc 下,找到了自动运行这个进程的脚本 这个脚本在 /boot/下 我把脚本删除,过会又会生成另一个脚本,继续跑这个进程来占用服务器的资源 我在 crontab 下也没找到任何跑这个脚本的任务
有什么办法可以查到这个脚本会删掉又继续出现的原因吗
21 replies 2016-04-19 11:18:55 +08:00
 | 1 znoodl Apr 18, 2016 via iPhone 应该是有其他进程,你看下是哪个程序生成的脚本, lsof ,不过被入侵了还是重装下比较好 |
 | 2 Pastsong Apr 18, 2016 重装下吧,这种只要有一个脚本没清干净都很麻烦 |
 | 3 22too Apr 18, 2016 既然程序 root 权限都有了,你还是重新安装一下吧 |
 | 4 HanningWu Apr 18, 2016 via iPhone  1 betacat. 还是不要管的好,小心性命之忧(手动滑稽) |
 | 5 evenno OP 谢谢各位,还是重装吧,估计后门太多 |
 | 6 yanwen Apr 18, 2016 我有个思路。不知道对不对。。 先用 ufw 禁止掉所有的端口,然后开放一个特殊的端口让自己访问就好。 然后再传一个 scp 的执行文件上去,进行文件备份。备份好重装系统。。 |
 | 7 kaneg Apr 18, 2016 检查下在 /etc/rc.local 之类启动就执行的脚本中有无可疑脚本,有则清除,然后重启。 不过如果系统文件都被替换过就很难恢复了。 |
 | 8 SlipStupig Apr 18, 2016 chrootkit 看一下能不能看到什么异常 |
 | 9 realpg PRO 赶紧重装吧…… 看楼主描述,没有专业熟悉 linux 底层的 devops ,各种 rootkit 你找得全? |
 | 10 fcicq Apr 18, 2016 拆硬盘在正常的系统里备份, 原系统不要再给启动的机会了. |
 | 11 sefemp Apr 18, 2016 我的 aliyun 和 lz 出现了相同的问题 进程名是一串随机字符串, kill 了又会起来 cpu 占满,不停发包。。。 |
 | 12 aksoft Apr 18, 2016 被当 J 了 |
 | 13 KKKKKK Apr 18, 2016 via Android rm -rf / 然后重启 解决一切问题 |
 | 18 hjc4869 Apr 18, 2016 @Ansen UNIX 思想,一切皆文件。 rm -rf /是删除文件而不是删除硬盘上的文件,你用 df 命令可以看到这些文件分别来自哪里,并不都是硬盘的。 |
 | 19 Mireas Apr 18, 2016 我的服务器最近也无故占用爆表,我的 root 密码就三个数字....看来要加强防御... |
 | 20 ixinshang Apr 18, 2016 最近三个服务器有发包异常,现在全部限制端口流量了,这个月用完,不用了,新机器采用密匙验证,防火墙, f2b ! 不知道还需要强化些啥! 请前辈们指导! |
 | 21 lotina69 Apr 19, 2016 可以查看下进程所在目录,然后用锁定该目录,删除感染文件,这个可能感染的比较多一些,另外查看下 init.d 和 rc.local 里是否有自启动的进程之类。当然最简单的就是重装。。 |
Select Language