记一次 Linux 隐藏进程排查

最新推荐文章于 2024-04-29 21:58:18 发布
最新推荐文章于 2024-04-29 21:58:18 发布
阅读量230 收藏 3
点赞数 5
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuisuiwoxin3/article/details/137874597
版权

某一客户环境,机器负载很高,但用户没有运行任务;CPU 负载很高;但是top 、ps -ef查不到这些进程;确定此机器中病毒了。

排查方法总结:

1.到/usr/bin/ 执行 ls -lt 确认最近修改的文件的修改时间。

2.确认关键目录同一时间 被修改的文件:

find /usr -type f -newermt "2024-03-01 00:00:00" ! -newermt "2024-03-01 23:59:59"

3.systemctl list-units --type=service --all 排查确认运行的任务是否有些异常服务,

4.通过chattr文件会被删除,可以从正常环境把二进制文件复制过来或者源码安装下:

tytso/e2fsprogs at v1.42.9 (github.com)

mkdir build

cd build

./configure --prefix=/path/to/your/directory

make &make install 

5.将找到被修改的文件,chattr -ia 获取权限, rm -rf 删除掉文件

6.sysdig -c topprocs_cpu  确认占用CPU 的进程

7.kill -9  掉相应的进程, 一般情况下,负载会降下来。

9.修改root 密码,重新生成公钥等,修改ssh 配置文件 进行加固

努力把事情讲清楚
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次tomcat进程cpu占用过高的问题排查
01-20
本文主要一次tomcat进程,因TCP连接过多导致CPU占用过高的问题排查录。 问题描述 linux系统下,一个tomcat web服务的cpu占用率非常高,top显示结果超过200%。请求无法响应。反复重启依然同一个现象。 问题...
linux隐藏进程
weixin_42871919的博客
10-14 645
1. 本文所用到的工具在可以下载2. 思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD,是个环境变量,用于动库的加载,动库加载的优先级最高,一般情况下,其加载顺序为 LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。
linux删除未跟踪进程,一次Linux系统被入侵的排查过程
weixin_39814126的博客
04-28 109
原标题:一次Linux系统被入侵的排查过程事件起因一天晚上,我准备与朋友通话,突然发现电脑上QQ自动离线,然后又自动登录,还以为QQ被盗了。电话完后,发现是网络不稳定引起的,由于小区宽带上个月才进电信光纤网,存在一些不稳定因素,是可以理解的。但是我发现居然连普通的百度都打不开了!几分钟后,我冷静了下来,准备看看是不是附近有人赠我的网,把我的带宽用完了。果断登录路由器发现我的Linux虚拟机居然占...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
linux调查java内存泄漏_一次Java内存泄漏排查
weixin_39846364的博客
02-27 799
起因:最近新上线的服务内存(部署在linux平台)每天一天都会上涨一点点,现象如下图所示。想到每天要通过一个SO库与一个数据源进行TCP的连接与断开,于是便展开排查工作。现象.jpg因为不是紧急的线上问题,于是在开发站搭建环境进行问题重现。主站上面程序是每天9点进行连接操作,下午四点进行TCP长连接的断开操作,开发站为了放大这个问题,写了一个循环进行重复连接与断开,观察内存变化情况。排查步骤:st...
一次OOM问题排查过程实战
08-26
主要给大家介绍了一次OOM问题排查过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
一次django内存异常排查及解决方法
09-16
主要给大家介绍了关于一次django内存异常排查解决方法,文中通过示例代码介绍的非常详细,对大家学习或者使用django具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
一次MySQL数据库问题排查
12-14
 错误日志中看到频繁有这样的一个异常报错:Error: ER_CON_COUNT_ERROR: Too many connections。这个报错是因为数据库的所有连接被客户端都占有了,没有空闲的连接可以使用。MySQL 默认的大并发连接数是 100,然而...
一次神奇的MySQL死锁排查
09-09
主要给大家介绍了一次神奇的MySQL死锁排查的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Mysql具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 1051
子网ip 与网关。
Linux进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 807
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1135
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 615
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 593
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 986
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
linux的“>”和“>>”
qq_45212655的博客
04-24 484
文件存在,新的输出将被添加到文件的内容之后;如果文件不存在,将会创建一个新文件。文件存在,它的内容将被新的输出覆盖;如果文件不存在,将会创建一个新文件。都是用于文件重定向的操作符,它们用于将命令的输出发送到文件中。用于创建一个新文件或覆盖现有文件的内容。用于将输出附加到现有文件的末尾,而不是覆盖它。
Linux中的YUM源仓库和NFS文件共享服务
最新发布
2402_83805984的博客
04-29 636
yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系=,解决了日常工作中的大量查找安装依赖包的时间。NFS是一种基于TCP/IP传输的网络文件系统协议,最初由sun公司开发,通过NFS协议。客户机可以向访问本地目录一样访问远程NFS服务器中的共享资源。NFS也是NAS存储设备必然支持的一种协议,但是因为没有用户认证机制,而且数据在网络上明文传输、安全性很差,所以一般只能在局域网中使用。
Linux--内核移植(二)移植流程及驱动修改
qq_47258284的博客
04-23 1061
一、官方开发板内核测试本文来总结一下如何将 NXP官方提供的Linux内核移植到正点原子的开发板上。一、官方开发板内核测试NXP提供的Linux源码肯定是可以在自己的开发板上运行下去的,所以我们肯定是以 I.MX6ULL EVK开发板为参考,然后将Linux内核移植到开发板上的。1.修改顶层Makefile修改顶层Makefile,直接在顶层Makefile文件里面定义ARCH和这两个的变量值为 arm和 arm-linux-gnueabihf-。
一次spark sql问题排查的经历
03-16
好的,我来回复您。我得有一次在使用Spark SQL时,遇到了一个查询结果不正确的问题。我首先检查了数据源和查询语句,发现没有问题。然后我开始检查Spark SQL的执行计划,发现其中一个阶段的任务数比其他阶段的任务数要少。经过进一步排查,我发现这个阶段的任务数少是因为其中一个节点出现了故障,导致任务无法在该节点上执行。最终,我通过重新启动该节点并重新执行查询,成功解决了问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值