一次杀不死的进程记录

最新推荐文章于 2023-02-09 09:32:19 发布
最新推荐文章于 2023-02-09 09:32:19 发布
阅读量277 收藏
点赞数
文章标签: 运维 数据库 操作系统
原文链接:https://my.oschina.net/woniuyi/blog/3075405
版权

1. 发现问题:

  • 服务器今天发现遭受木马攻击,疑似挖矿程序植入,cpu一路飙升至99%,导致其他程序异常卡顿。
  • 机智的我上来一个top命令让程序现出原形,结果发现一个dvjj的进程耗尽了资源。

71615adf355ba62d87d77012a3c0a3796f4.jpg

 

2. 解决问题

  • 接着,查看这个命令是从哪里的启动的,发现没有什么有用的信息。

50f72913d80ba035ebe28af3a46c395af5b.jpg

 

  • 那我换个方式,根据PID查看此进程的详细信息:ll /proc/19718 
  • Linux在启动一个进程时,系统会在/proc下创建一个以PID命名的文件夹,在该文件夹下会有我们的进程的信息,其中包括一个名为exe的文件即记录了绝对路径,通过ll或ls –l命令即可查看。

2f39c9d1c6b39093f736e99f61456735276.jpg 

 

  • 好家伙,看看这个dvjj到底写了些啥:cat /etc/dvjj,一堆火星文字刷屏,吓得我连按几个ctrl+c才退出。

111a68b119ee43caab14a6eb623a6fca87f.jpg

 

  • 既然看不懂,我就不看嘛,删掉你:rm –rf /etc/dvjj,同时提示我有一封邮件,You have new mail in /var/spool/mail/root,于是查看邮件:cat /var/spool/mail/root,疯狂输出日志,好像是一直在下载什么东西

a336b9269a3a79b08a618e1c30f1a2ecdd2.jpg

 

  • 不管了,先干掉再说吧:kill -9 19718,再次查看资源:top。怎么又起来了,中度郁闷中,杀不死的小强

b94bf3810318b87fd81384113ccd1cb6718.jpg

 

  • 由于此程序会自动运行,立马想到定时任务,因此查看所有定时任务(系统级别和用户级别)系统级别的任务如下:

94dd41a7a3b0f30e5aa034368116abe4a55.jpg

d52ac65884a89e3d51c3eb9a1d72cb9ddc3.jpg

 

  • 查看用户级别的定时任务:cd /var/spool/cron/ ,只有一个用户和组都是root 的root文件

911f2f959d1b5720db1e524214a8e504f38.jpg

 

  • 查看定时任务内容:crontab –l,似乎是和redis相关的一堆自动下载任务,每隔几分钟就会执行一次

b4b7bffd6a54d55d3c3e38e8edc9ca725ae.jpg

 

  • 既然如此,就删除当前用户的所有定时任务:crontab -r,提示我无法执行,我可是草鸡用户啊,怎么能这样对我。。。。。

8be0f7781caf1fdfea87e55cfa278286871.jpg

 

  • 并且crontab –e 编辑命令均没有作用。最后,我决定采用rm –rf root 删除

0d65208a7945cecdb32651786e651068f29.jpg

 

  • 怎么这个文件既不能编辑也不能删除,太奇怪了!!这时,有两个命令可以派上用场:
chattr:可以修改文件系统属性,防止root用户误操作

lsattr: 查看文件系统属性

man chattr 可以查看命令使用详情

3f219bb70ad58246433282bbf77450849a0.jpg

a 表示只能追加

e 表示文件使用区段映射磁盘上的块

 

  • 去除文件属性:chattr –ae root,但是依然不能删除,那就采用编辑此文件,成功删除里面的内容,心头一喜。

1fe0622ec522403f6656f142d70fb1cf297.jpg

 

  • 查看root文件:cat root,无任何内容。另外,需要对这些定时任务文件修改属性:chattr +i  files,防止篡改

bfa6b0c5ef4deebe4dc7ae17f7dd59ef7b4.jpg

 

  • 修改执行文件/etc/dvjj的权限,由于此文件一直在增加内容,所以先删除后再新建一个空内容的文件,并且防止其修改:chattr +i /etc/dvjj

ccdf79903233fd3d8416434a8fc3ffb42d8.jpg

 

  • 查看进程树pstree,可以看到dvjj还有5个后台进程,因此是杀不死的

e7d01a02a8e52a8ebd46aa2b5997d872033.jpg

 

  • 查看此进程下的所有任务:ll /proc/11080/task,共六个程序

ad60d722540c46772ef36268e7567e76c02.jpg

 

  • 查看进程所打开的端口和文件,lsof -p PID

3f4797a4dd6305a0d9463574ee19203dece.jpg

 

  • 查看其中一个文件:cat /usr/lib64/ld-2.17.so,发现同样乱码,经过查询可以用strings命令进行转化,比如:

strings /usr/lib64/ld-2.17.so > virvus.txt

  • 然后再进行查看,前后折腾一番,但是我没有找到有用的信息。
  • 既然如此我就修改其木马文件权限:chmod 600 /usr/lib64/ld-2.17.so,让其无法执行,并且锁定文件:chattr +i /usr/lib64/ld-2.17.so
  • 上图中可以看到此连接的ip和端口:47.102.39.92:13531,封掉此ip和端口。
echo 47.102.39.92 >> /etc/hosts.deny

iptables -I INPUT -s 47.102.39.92 -ptcp --dport 13531 -j DROP

iptables -I OUTPUT -s 47.102.39.92 -ptcp --dport 13531 -j DROP

 

  • 接下来,再次杀死dvjj进程,反复查看进程,终于搞定这个杀不死的进程了。你以为这样就完了,并没有。。。。。输入:netstat -apntl,服务器还在尝试与对方握手,因为禁了ip所以连接不上!!!!!! 

c777566e3a900a225b4c6fe65e596027d01.jpg

 

3. 最后,检查启动项的文件

  • 检查最基本的开机启动项配置文件,尝试在开机启动文件中看看有没有可疑程序,如有有记得删除

    ls /etc/rc*/init.d
ls /etc/rc*/

324b36e722229249e4df1f602a58e426ef5.jpg

 

  • 检查chkconfig方法配置的自启动的服务:chkconfig --list

e20c1bcec740254e0f5524b5e1fd3406280.jpg

  • 关机重启,搞定

 

4. 总结:

1. 找出定时任务程序(/etc/cron*,/var/spool/cron/),清空并锁定chattr +i files

2. lsof -p PID找出程序使用的文件和IP及端口(netstat -anptl命令也可以找到ip和端口) ,将文件内容清空并锁定,将IP和端口封掉

3. 杀死程序,查看开机启动程序

4. 重启查看有无异常

 

  • 第一次遇到这种情况,前后忙活了很久,也查了很多资料,也算是学到了很多东西,所以服务器的安全性真的很重要,可以从以下方面进行防护:
1. 把所有软件升级到新版本

2. 修改所有软件默认端口号

3. 打开ssh/authorized_keys, 删除不认识的密钥

4. 删除用户列表中陌生的帐号

5. 封了他的ip

6. SSH使用密钥登录并禁止口令登录(这个一般是加运维一个人的秘钥)

7. 下载杀毒软件 clamav
  • 这里,贴上类似问题的解决过程,希望对大家有所帮助:

https://www.cnblogs.com/tssc/p/9265528.html

https://mp.weixin.qq.com/s/tk1yL6LPnbgjONUVaqPjzw

 

 

 

转载于:https://my.oschina.net/woniuyi/blog/3075405

chunqiu3351
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux_unix_shell第一部分编程(共两部分)
08-18
3.3.3 后台进程 28 3.4 nohup命令 29 3.4.1 使用nohup命令提交作业 29 3.4.2 一次提交几个作业 29 3.5 小结 30 第4章 文件名置换 31 4.1 使用* 31 4.2 使用? 32 4.3 使用[...]和[!...] 32 4.4 小结 33 第5章 ...
java版斗地主源码-HuluBattle:葫芦大战
06-04
第一次是一对一战斗,胜者继续参加战斗,败者亡。一对一战斗后,进行以阵营为单位的厮,活着的成员一同合作对方阵营。胜负的判断不依据存活的人数而依据成员的总武力值。最后武力值高的阵营胜利,失败的一方...
ld-2.17.so可以直接调用,解决/lib64被删,改名就靠你了
weixin_33924770的博客
03-05 798
2019独角兽企业重金招聘Python工程师标准>>> ...
程序的加载链接和库-动态链接
hixiaoxiaoniao的专栏
06-30 526
程序的动态加载原理
Linux中kill命令不掉进程的解决办法
热门推荐
GaryYoung的博客
02-09 1万+
Linux中kill命令不掉进程的解决办法
kill 进程的原因
08-23 8668
kill -9发送SIGKILL信号将其终止,但是以下两种情况不起作用:a、该进程处于”Zombie”状态(使用ps命令返回defunct的进程)。 此时进程已经释放所有资源,但还未得到其父进程的确认。”zombie”进程要等到下次重启时才会消失,但它的存在不会影响系统性能。b、 该进程处于”kernel mode”(核心态)且在等待不可获得的资源。处于核心态的进程忽略所有信号处理,因此对
进程PID kill不掉?如何解决端口占用
BluthLeee的博客
04-15 5152
问题描述 我需要9094端口,出于某些原因,我的程序只能运行在该端口。但是该端口被其他的进程所占用,如图: 一般来说,遇到这种情况,直接kill -9 PID就可以结束该进程,进而释放端口号了。但是问题来了,kill进程并不能成功,alertmanager进程换了个PID,继续牢牢地占用着9094端口。 问题解决 首先在这我们需要明确,并不是kill进程不成功,事实上,kill进程成功了,所以alertmanager结束,PID3087释放;但是,它又被其他服务唤醒,所以alertmanager换了一个新
Linux服务器上的Tomcat进程频繁被
01-09
Linux服务器上的Tomcat进程频繁被一.查看系统日志二.确定问题三.附带情况四.总结 一.查看系统日志 目前服务器上的Tomcat服务经常出现宕机的情况,想通过查看系统日志/var/log/messages来确定问题,但是系统日志没有...
入门学习Linux常用必会60个命令实例详解doc/txt
06-09
halt执行时,应用进程,执行sync(将存于buffer中的资料强制写入硬盘中)系统调用,文件系统写操作完成后就会停止内核。若系统的运行级别为0或6,则关闭系统;否则以shutdown指令(加上-h参数)来取代。  ...
完整的hook程序的例子
06-30
监视系统的运行,如发现系统中有“记事本”进程(notepad.exe)或者“计算器”进程(calc.exe),立即(kill)该进程,并将该事件写入数据库;定期进行检查,每间隔1分钟,检查数据库,将尚未上传的事件记录上传...
解决Centos6.7:-bash: ./DrClientLinux: /lib/ld-linux.so.2: bad ELF
10-18
解决Centos6.7:-bash: ./DrClientLinux: /lib/ld-linux.so.2: bad ELF 的所有rpm包
进程守护(进程)
05-21
进程,让你的程序能永驻后台成为牛皮癣一样的东西。是不是很流氓,流氓就对了,就是要这么无耻,让360都没辙,360咱的。
重大事故:Centos7根目录下lib64被重命名
01-07
上网找了很多教程,原理对 有的介绍用: /lib/ld-2.17.so 有的介绍用 /lib64/ld-linux.so.2 但实际得使用 ld-linux-x86-64.so.2 改名目录: /usr/lib64——/usr/lib64_bak /usr/local/lib——–> /usr/local/lib_bak 当时自己有六个库目录,一一试过后: /lib/ /lib64 /usr/lib /usr/lib64 /usr/local/lib /usr/local/lib64 发现shell命令依赖库在/usr/lib64 然后继续找,尝试以下命令 /usr/lib64_
进程kill不掉怎么办
javaman_baicun 的博客
11-19 5074
问题背景:公司内部的一套发布系统,每次部署,启动git仓库所指代码,并且启动时不是直接通过java -jar 启动的,是属于发布系统内的子进程,当子进程在调用exit命令结束自己的生命的时候,其实它并没有真正的被销毁,而是留下一个称为僵尸进程(Zombie)的数据结构。导致我们在kill时不能掉。 可通过如下方法处理 ps -aux 查看进程状态,如果 STAT 是 Z,那么就是一个僵尸进程。 ps -ef | grep 进程id 找到父进程id 通过kill掉父进程这个进程。 僵尸进
ld-linux.so 解释器,如何构建elf解释器(ld-linux.so.2 / ld-2.17.so)作为静态库?
weixin_42516575的博客
05-13 163
I would like to be able to set the path to the interpreter with environment variable similar to LD_LIBRARY_PATH, maybe LD_INTERPRETER_PATH.这根本不可能.仔细阅读(和几次)execve(2),elf(5)& ld.so(8)手册页和Linux ABI&a...
7.程序员的自我修养---动态链接
enlyhua的专栏
11-15 470
1.为什么要动态链接 静态链接缺点: 1.静态链接的方式对于计算机内存和磁盘的空间浪费非常严重。特别是多进程操作系统情况下,静态链接极大的浪费了内存空间。 2.静态链接对程序的更新,部署和发布也会带来很大的麻烦。一旦程序中有模块更新,整个程序就要重新链接,发布给用户 要解决空间浪费和更新困难这2个问题最简单的办法就是把程序的模块互相分割开来,形成独立的文件,而不再将它们静态的链接...
端口不干净(进程掉了又重启)
clair_chen的博客
06-18 2231
端口号掉了又重启? 我的问题是出现在安装ubuntu16.04安装k8s的过程中,安装过程报错如下: panic: Error response from daemon: driver failed programming external connectivity on endpoint heuristic_jones (9fa6245f08ee513397ce0e7443226b15747fe98e1b24f1a77ed9f2b0ed447958): Error starting userland p
端口号占用快速解决方法
海神九考
11-08 1252
有的时候我们的电脑中突然软件卡、然后重启的时候。之前运行的项目在端口没就会被占用掉,无法启动。这个时候我们就需要找出这个端口,并它。
Linux的lib64改名无法使用(一)
qq_45029110的博客
10-11 1591
Linux的lib64改名无法使用
一次性多个进程
最新发布
05-28
在Linux系统中,可以使用kill命令一次性多个进程,具体操作如下: 1. 先使用ps命令查看需要进程的PID,例如: ``` ps -ef | grep xxx ``` 其中xxx是进程的名称或关键字。 2. 将PID以空格隔开,放...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值