查找异常进程, 可以用top
命令查看正在运行的程序所占用的资源, 或者用ps -ef
列出当前系统所用的进程.
如果发现自己不认识的进程, 可以用以下命令进行详细的检查:
查看该进程启动的完整命令行:
ps eho command -p $PID
查看该进程启动时候所在的目录:
readlink /proc/$PID/cwd
查看该进程启动时的完整环境变量:
strings -f /proc/$PID/environ | cut -f2 -d ' '
列出该进程所打开的所有文件:
lsof -p $PID
列出该进程所打开的网络连接:
netstat -pan | grep $PID
当然, 如果攻击者用某种手段隐藏了进程, 也还是会留下一些线索, 比如可疑的LKM模块, 这里就不深入了.