服务器被入侵, ps 无法找到一个进程信息,会是什么情况?

2016-12-07 15:06:55 +08:00
 wuxqing
服务器被入侵,用作挖矿了。有个情况很奇怪

CPU 全部 100%了,但是
ps auxw --sort=%cpu 查不到

用 top 也是看不到,大约间隔 15 左右会有一个 CPU 占比很高的进程出现(/usr/bin/xl2tpd ),这个就是挖矿的程序

这个进程用名称和 PID 都无法查到
ps -ef | grep 'xl2tpd'
ps -p PID

但是
lsof 可以搜到
lsof | grep 'xl2tpd'
lsof -p PID

ls /proc/PID 也是有信息的

通过 lsof 搜到另一个进程
xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
执行程序:/usr/bin/systemd-network

同样用 ps 也是查不到的
6712 次点击
所在节点    Linux
22 条回复
Yinz
2016-12-07 15:17:54 +08:00
检查一下 ps 有没有被动手脚替换了或者修改了?
wuxqing
2016-12-07 15:21:52 +08:00
@Yinz 没错, ps 被改了,谢了!
knightdf
2016-12-07 15:40:18 +08:00
@wuxqing 学习了!
9hills
2016-12-07 15:42:54 +08:00
这个程序,挖矿的时候也不说限制下 cpu 。。活该被发现啊
lgpqdwjh
2016-12-07 18:52:48 +08:00
一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -
skylancer
2016-12-07 20:09:49 +08:00
绝大多数这种情况都会被改 ps 和 top 的
ixinshang
2016-12-07 20:45:16 +08:00
其实我想问 怎么挖
est
2016-12-07 21:07:18 +08:00
http://www.freebuf.com/articles/system/117234.html

syscall(__NR_hide) // 294 信号 。
momi
2016-12-07 21:23:32 +08:00
https://github.com/xelerance/xl2tpd
URL : https://www.xelerance.com/software/xl2tpd/
Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)

只要装了 NetworkManager ,这个包就会被安装,通过 systemd-network 启动的。。。。

如果木马真的修改了 ps 、 top 之类的程序,那它肯定也会自我隐藏,你根本看不到的,牛 B 的木马,就算你从干净系统里搞一个静态链接的 ps 过去,也查不到,只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性,找出它。。。
eoo
2016-12-07 22:25:32 +08:00
学习学习
leakless
2016-12-07 22:41:36 +08:00
这种情况下先检查系统命令是否被做了手脚
要是系统命令都被做了手脚。。备份一下重装吧
mingyun
2016-12-07 23:05:57 +08:00
@Yinz 厉害了
jon
2016-12-08 00:31:45 +08:00
怎么被黑的?
Yechs
2016-12-08 09:00:02 +08:00
@lgpqdwjh 这个问题怎么解决呢 找不到源头 现在只能使用 crontab 1 分钟杀一次进程来解决
abc123ccc
2016-12-08 09:14:29 +08:00
我也觉得只能重新安装系统了。
Balthild
2016-12-08 09:23:36 +08:00
@momi xl2tpd 是一個 VPN 服務端,正常情況下不會佔用那麼高的 CPU ,用 ps 也能看到進程。因此應當是偽裝的。
qunl
2016-12-08 09:34:44 +08:00
学习学习
Yechs
2016-12-08 10:24:35 +08:00
[root@aliyun~]# xl2tpd -V
cpuminer 2.3.3
built on Jul 1 2016
features: x86_64 SSE2 AVX AVX2 XOP
libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8
wbangin
2016-12-08 11:09:05 +08:00
xl2tpd 是 l2tp vpn 的程序名,你这个是挖矿程序,被别人中了马用来挖矿?
stormpeach
2016-12-08 13:34:11 +08:00
一般这种情况木马是替换 ps 源程序还是就加个别名之类的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/325923

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX