Linux杀不死木马,杀不死进程,自启动进程

Linux中杀不死进程,杀不死木马,删不掉,自己启动木马

因内网服务器端口映射公网没有修改弱密码,导致暴力破解服务器被挂木马,详细流程如下

1查询操作历史日志

发现日志被删,无法得知他做了什么

2.使用lastb查看登录日志

发现它用各种账号尝试破解

3.top查看系统资源

发现CPU占用超高,怀疑被挂马进行挖矿

第一个进程CPU占用超高,而且名字可疑,

ps -ef |grep pid 找到文件路径将其删除,并且kill掉此进程

再次top查看发现一个不同名新的进程在跑,也生成了相应的文件

尝试多次删除,kill -9无果,删一个新建一个,完全杀不死

后面将文件下载到本地想研究下,是个可执行文件,文本编辑器打不开,点击执行,电脑瞬间卡死

想到该进程应该有父进程还在一直建立新的

查出它父进程是1

找出1进程

发现是系统开机自启进程,猜想有个自启动文件在系统启动文件夹下

查找文件件找到了最近修改的

查看文件修改时间

内容如下

大概意思是每十秒执行ExeStart指向的文件

接下来找到该文件 

将其删除

同时删除自启动服务文件

再杀掉进程

发现杀成功了

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页
评论 3

打赏作者

flysnownetwork

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值