linux 有莫名进程运行,linux被黑,莫名其妙的进程(长度为10个英文字母的字符串)...

最新推荐文章于 2022-08-11 10:13:32 发布
最新推荐文章于 2022-08-11 10:13:32 发布
阅读量272 收藏
点赞数
文章标签: linux 有莫名进程运行

客户用的是wdlinux, 难免会有漏洞,不知怎么就被莫名其妙地给入侵了,而且还频繁发包。下面是我查看攻击机器的整个过程。 首先跟客户要了root密码登录看,第一个命令是就top -c:

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

排第一的竟然是route -n  ,  这让我有些怀疑,top 再看

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

变成了一个10位的无规律字符串

ls  -l /proc/pid  查到该进程的老家(路径)

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

删除掉  /usr/bin/kkflyxxuqh

重复上面的步骤发现,问题依旧,它还会自动生成:

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

只不过名字改了,又伪装为linux命令 “id"

好顽固呀! 想到以命令  strace:

strace -tt -p 8832

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

发现可疑文件 :  /lib/libgcc.so

删掉: rm -f /lib/libgcc.so  竟然还会莫名其妙生成

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

所以,这还不是根源文件,因为重启服务器后,问题依旧,所以怀疑是加入到系统服务列表了:

使用ntsysv把用不到的服务全部停掉:

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

竟然有大发现,这么多10位的随机字符串服务,肯定是不合法的。全部禁掉。

然后去/etc/init.d/ 下删除这些垃圾文件:

c5345febfbf2?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

删除之后,再重启服务器,问题不再存在。 但为什么会有这些文件产生?还需要近一步探索。 要么是通过网站漏洞要么就是wdlinux的漏洞,还有一种可能那就是root密码被破。 所以,要解决该问题,第一就得换掉wdlinux,自己手动编译安装lamp环境。 第二要给网站做安全扫描和安全设置。第三,把root密码改的非常非常复杂。

其实 /lib/libgcc4.so 这个文件才是罪魁祸首, 至于这个文件为什么会自动生成,还需近一步排查。临时可以先给/lib/目录加个 i 权限。暂时控制一下。

世异
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器被入侵,异常进程无法杀掉,随机进程
小云的博客
05-01 459
故事情节:有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常的进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。...
杂乱无章的Linux——进程和信号
weixin_45961392的博客
02-25 85
进程 每一个运行着的程序实例就叫做进程,每一个进程都会被分配一个唯一的数字叫做进程标识符或PID。操作系统通过进程表对进程进行管理。在命令行输入ps -ef就可以查看当前所有进程运行一个新进程,即在一个程序中启动另一个程序,可以使用system库函数,运行字符串参数传递给它的命令并等待该命令的完成。 system("ps ax"); 相当于在命令行输入ps ax,但如果想让这个进程后台运行,可以把上述函数代码改成system("ps ax &");。system函数在每次运行时都需要启动一个
linux下出现大量僵尸进程,Linux下僵尸进程的产生和解决方法
weixin_35011928的博客
04-29 383
僵尸进程的产生由下面一段cs架构的代码说明下,僵尸进程的产生,下面是一个简单的回射服务器,客户端负责从标准输入读入数据,写到服务端,服务端主进程监听连接套接字,fork一个子进程处理连接套接字,读入数据和回写给客户端。大写的函数只对出错的情况进行处理。客户端代码#include#include#include#include#include#include#include#include#incl...
Linux系统下某个进程杀不掉,会自动重启
Anisworth的博客
08-11 3574
ubuntu服务器下,使用``nvidia-smi``查看GPU使用情况,发现一直存在一个未知的python程序在长期使用GPU,使用``kill``命令杀进程和关机重启都无法解决,该程序会自动重启。
Linux系统中莫名其妙进程,kill不掉 ----解决办法
weixin_52539529的博客
12-16 805
当我们打开系统的时候,查看进程,发现一些莫名其妙进程,而且还kill不掉 经过查询发现这些进程在一个文件夹中保留, cd /tmp cd hsperfdata_impala/ 可以观察到这与我们存在的进程完全相同 只要我们将这个文件夹中的文件删掉,问题就迎刃而解。并且不会对集群产生任何影响 rm -rf 1808 可以查看下进程确实已经没了 ...
node.js读取文件到字符串的方法
01-01
本文实例讲述了node.js读取文件到字符串的方法。分享给大家供大家参考。具体分析如下: Node.js是一套用来编写高性能网络服务器的JavaScript工具包,一系列的变化由此开始。比较独特的是,Node.js会假设你是在POSIX...
Linux环境下进程管理.doc
05-31
当此程序运行时,在系统中有一个父进程和两个子进程活动。让每一个进程在屏幕上显示一个字符:父进程显示字符“a”;子进程分别显示字符“b”和字符“c”。试观察记录屏幕上的显示结果,并分析原因。
VBA功能之 从n位开始取出字符串中的汉字、英文字母、数字.zip
10-26
=myget(srg,2)'从第 1 位开始取出英文字母,第 3个参数省略默认为 1' =myget(srg,,5)'从第 5 位开始取出数字,第 2个参数省略默认为 0' =myget(srg) '第 2、3 个参数都省略,默认为从第 1 位取出所有数字
Shell脚本计算字符串长度和判断字符串为空小技巧
01-10
判断字符串为空的方法有三种: 代码如下: if [ “$str” = “” ] if [ x”$str” = x ] if [ -z “$str” ] 注意:都要代双引号,否则有些命令会报错。 您可能感兴趣的文章:用Shell判断字符串包含关系的方法...
求一个字符串中字母的个数,以及一个字符串中数字的个数.md
01-26
求一个字符串中字母的个数,以及一个字符串中数字的个数,相对于用C语言能更好地实现了算法的利用率的最大化,省去了C语言中用指针来定义字符串的环节,从来让程序变得更加整洁,易懂。
Linux磁盘空间被未知资源耗尽的解决方法
09-15
下面小编就为大家带来一篇Linux磁盘空间被未知资源耗尽的解决方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
linux服务器异常进程,Linux服务器快速排查系统是否被被入侵
weixin_42577735的博客
04-29 2218
1.异常进程可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU 2.linux系统中出现类似Windows的目录或可执行文件如果判断不是用户自己上传的,很有可能系统被或数据库被3.检查定时任务crontab可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录...
php漏洞掉数据库,WDCP add_user.php任意数据库添加任意用户漏洞分析
weixin_39528289的博客
03-17 702
0x1. 什么是WDCPwdcp (WDlinux Control Panel)是一套用PHP开发的Linux服务器管理系统,旨在易于使用和管理Linux服务器,通过web后台就可以管理服务器和虚拟主机。和国外的cPanel类似。虚拟主机的小能手。2014年9月26,wdcp官网公布该漏洞,http://www.wdlinux.cn/bbs/thread-37476-1-1.html而且可以看到最...
Linux查看某个端口的连接数排查http请求并发瓶颈
qq_19238585的博客
03-29 3152
一、查看哪些IP连接本机 netstat -an 二、查看TCP连接数 1)统计80端口连接数 netstat -nat | grep -i "80" | wc -l 2)统计httpd协议连接数 ps -ef | grep httpd | wc -l 3)统计已连接上的,状态为“established netstat -anp | grep ESTABLISHED | wc -l 4)、...
linux进程 详细,Linux中的进程讲解
weixin_29975633的博客
04-28 422
1.进程定义进程就是cpu未完成的工作2.ps命令psl 长格式输出;u 按用户名和启动时间的顺序来显示进程;j 用任务格式来显示进程;f 用树形格式来显示进程;a 显示所有用户的所有进程(包括其它用户);x 显示无控制终端的进程;r 显示运行中的进程;ww 避免详细参数被截断;-A列出所有的进程-w显示加宽可以显示较多的资讯-au显示较详细的资讯-aux显示所有包含其他使用者的进程-e显示所有进...
Linux下tomcat进程莫名消失
lemon
05-14 5319
参考Linux进程被杀掉(OOM killer)查看系统日志 JAVA进程诡异消失oom killer干的 查看/var/log/messages文件可以看到如下信息,发现java进程被操作系统kill。oom killer是linux系统的一个保护进程,当linux系统所剩的内存空间不足以满足系统正常运行时会触发。oomkiller执行时,会找出系统所有线程的score值最高的那个pid然...
wdcp虚拟主机管理系统注入漏洞
收集盒 Book box
05-24 3776
日期:2014-05-13 | 来源:伟大娃娃 | 作者:人生注入点 | 287 人围观 wdcp服务器/虚拟主机管理系统登陆框注入漏洞。 passwd字段存在注入风险,选择限制字符长度为30.我想应该有大牛能绕过!   下面给出由伟大娃娃发布的漏洞利用脚本
Linux进程状态(ps stat)之R、S、D、T、Z、X
学海无涯,回头是岸........
05-13 7574
一、进程的状态表述:#define TASK_RUNNING 0#define TASK_INTERRUPTIBLE 1#define TASK_UNINTERRUPTIBLE 2#define TASK_STOPPED 4#define TASK_TRACED 8/* in tsk->exit_state */#define EXIT_ZOMBIE 16#d
linuxC 创建一个长度为50, 数量为10 的字符串
最新发布
04-20
合,每个字符串的初始值为"hello",请给出相应的代码。 以下是代码示例: ``` #include <stdio.h> #include <string.h> #define STR_LEN 50 #define STR_NUM 10 int main() { char str_arr[STR_NUM][STR_LEN]; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值