Linux进程隐藏问题————显示隐藏进程

阿里云云监控到有两台redis服务器CPU被某进程消耗400%cpu资源

01
02

系统查看Top 情况并未找到高消耗进程X7但CPU100%ni
03

Netstat 查找到了一些异常请求,初步判断出组件被提权入侵了

尝试查找异常进程X7关联的文件,排查还在/etc/hosts发现增加了如下异常映射,查看相关异常文件内容后进一步确定问题,挖矿程序~
05
06
04

 

Unhide工具扫描/proc后也看到了隐藏进程
07

挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/libjdk.so,开始top未查找到异常进程是由于该病毒涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的,所以一开始并未看到相关进程。

问题至此,先清理动态链接库
[root@redis01 ~]# cp /etc/ld.so.preload /etc/ld.so.preload.bak
[root@redis01 ~]# vi /etc/ld.so.preload
删除相关内容
[root@redis02 ~]# echo $LD_PRELOAD
结果为空

清理完成后,top已经可以看到之前隐藏进程
08

lsof进一步查看该进程打开了哪些相关文件,问题定位清楚了,直接删除相关病毒文件 ,清理相关进程,调整 /etc/hosts文件,cpu回归正常负载,细查crontab暂时未发现非正常任务,观察状态。

问题主要由于使用root启动了redis导致被爆提权而后引起这一系列的后果...静思前后,任重道远~

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值