Linux中杀不死进程,杀不死木马,删不掉,自己启动木马
因内网服务器端口映射公网没有修改弱密码,导致暴力破解服务器被挂木马,详细流程如下
1查询操作历史日志
发现日志被删,无法得知他做了什么
2.使用lastb查看登录日志
发现它用各种账号尝试破解
3.top查看系统资源
发现CPU占用超高,怀疑被挂马进行挖矿
第一个进程CPU占用超高,而且名字可疑,
ps -ef |grep pid 找到文件路径将其删除,并且kill掉此进程
再次top查看发现一个不同名新的进程在跑,也生成了相应的文件
尝试多次删除,kill -9无果,删一个新建一个,完全杀不死
后面将文件下载到本地想研究下,是个可执行文件,文本编辑器打不开,点击执行,电脑瞬间卡死
想到该进程应该有父进程还在一直建立新的
查出它父进程是1
找出1进程
发现是系统开机自启进程,猜想有个自启动文件在系统启动文件夹下
查找文件件找到了最近修改的
查看文件修改时间
内容如下
大概意思是每十秒执行ExeStart指向的文件
接下来找到该文件
将其删除
同时删除自启动服务文件
再杀掉进程
发现杀成功了
标签:文件,删除,进程,木马,Linux,自启动,日志 来源: https://blog.csdn.net/flysnownet/article/details/111028736
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。