当服务器被黑客攻击后,黑客会植入挖矿等程序,执行后删除了文件,但是进程还是在运行中的,那么怎么快速的排查,具体参考下述脚本
1、创建脚本
vim delete.sh
2、脚本内容
#!/bin/bash
# 获取所有进程的PID,并逐一处理
for PID in $(ps -eo pid | awk '{print $1}'); do
# 获取进程名
PROC_NAME=$(ps -p $PID -o comm=)
# 执行ls -al命令,并使用grep筛选出包含"delete"的行
findings=$(ls -al /proc/$PID/exe 2>/dev/null | grep "delete")
pstree_PID=$(pstree $PID 2>/dev/null)
# 如果有匹配结果,则输出PID和进程名
if [ -n "$findings" ]; then
echo -e "\033[31m---------------------------------------------------------------------------\033[0m"
echo ""
echo "PID: $PID, Process Name: $PROC_NAME"
echo "$findings"
echo "$pstree_PID"
echo ""
fi
done
3、运行脚本
bash delete.sh