服务器被入侵, ps 无法找到一个进程信息,会是什么情况?

2016-12-07 15:06:55 +08:00
 wuxqing
服务器被入侵,用作挖矿了。有个情况很奇怪

CPU 全部 100%了,但是
ps auxw --sort=%cpu 查不到

用 top 也是看不到,大约间隔 15 左右会有一个 CPU 占比很高的进程出现(/usr/bin/xl2tpd ),这个就是挖矿的程序

这个进程用名称和 PID 都无法查到
ps -ef | grep 'xl2tpd'
ps -p PID

但是
lsof 可以搜到
lsof | grep 'xl2tpd'
lsof -p PID

ls /proc/PID 也是有信息的

通过 lsof 搜到另一个进程
xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
执行程序:/usr/bin/systemd-network

同样用 ps 也是查不到的
6728 次点击
所在节点    Linux
22 条回复
wuxqing
2016-12-08 14:11:23 +08:00
是伪装成 xl2tpd 的挖矿程序
ps 文件被替换了,不是别名
初步判断是通过 redis 入侵的
Mdrights
2016-12-09 10:59:13 +08:00
問下,如果卸載了 Dbus 的話,是不是所有 daemon 都運行不了了?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/325923

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX