检查服务信息的时候发现有一个可疑的进程进行咨询 .zl 以及 .zlXXXXX 随机数字
其中 .zlXXXX 这个进程杀掉后还会自动启另外一个进程,数字就会变化了
crontab 没有发现定时任务
见截图
[img=https://img-bbs.csdn.net/upload/201804/19/1524133343_202513.png][/img]
通过 lsof 命令 分析这两个进程, 这两个进程信息如下
[quote]
lsof -p 1411
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.zl 1411 root cwd DIR 252,1 4096 2 /
.zl 1411 root rtd DIR 252,1 4096 2 /
.zl 1411 root txt REG 252,1 646674 1705185 /etc/.zl
.zl 1411 root 0r CHR 1,3 0t0 3845 /dev/null
.zl 1411 root 1u CHR 5,1 0t0 5457 /dev/console
.zl 1411 root 2u CHR 5,1 0t0 5457 /dev/console
[root@prodweb dev]# lsof -p 1586
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.lz151547 1586 root cwd DIR 252,1 4096 2 /
.lz151547 1586 root rtd DIR 252,1 4096 2 /
.lz151547 1586 root txt REG 252,1 646674 2101674 /tmp/.lz1515478938
.lz151547 1586 root 0r CHR 1,3 0t0 3845 /dev/null
.lz151547 1586 root 1u CHR 5,1 0t0 5457 /dev/console
.lz151547 1586 root 2u CHR 5,1 0t0 5457 /dev/console
[/quote]
进入到proc 下查看进程
[quote]
[root@prodweb dev]# cd /proc/1411
[root@prodweb 1411]# ls -ltr
total 0
dr-x------ 2 root root 0 Mar 29 18:45 fd
-r--r--r-- 1 root root 0 Apr 18 10:57 statm
lrwxrwxrwx 1 root root 0 Apr 18 11:13 exe -> /etc/.zl
-r--r--r-- 1 root root 0 Apr 18 14:07 stat
-r--r--r-- 1 root root 0 Apr 19 15:00 status
-r--r--r-- 1 root root 0 Apr 19 15:00 cmdline
-r--r--r-- 1 root root 0 Apr 19 17:33 wchan
dr-xr-xr-x 3 root root 0 Apr 19 17:33 task
-r--r--r-- 1 root root 0 Apr 19 17:33 syscall
-r--r--r-- 1 root root 0 Apr 19 17:33 stack
-r--r--r-- 1 root root 0 Apr 19 17:33 smaps
-r--r--r-- 1 root root 0 Apr 19 17:33 sessionid
-r--r--r-- 1 root root 0 Apr 19 17:33 schedstat
-rw-r--r-- 1 root root 0 Apr 19 17:33 sched
lrwxrwxrwx 1 root root 0 Apr 19 17:33 root -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 personality
-r--r--r-- 1 root root 0 Apr 19 17:33 pagemap
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_score_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 oom_score
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 numa_maps
dr-x--x--x 2 root root 0 Apr 19 17:33 ns
dr-xr-xr-x 4 root root 0 Apr 19 17:33 net
-r-------- 1 root root 0 Apr 19 17:33 mountstats
-r--r--r-- 1 root root 0 Apr 19 17:33 mounts
-r--r--r-- 1 root root 0 Apr 19 17:33 mountinfo
-rw------- 1 root root 0 Apr 19 17:33 mem
-r--r--r-- 1 root root 0 Apr 19 17:33 maps
-rw-r--r-- 1 root root 0 Apr 19 17:33 loginuid
-rw------- 1 root root 0 Apr 19 17:33 limits
-r-------- 1 root root 0 Apr 19 17:33 io
dr-x------ 2 root root 0 Apr 19 17:33 fdinfo
-r-------- 1 root root 0 Apr 19 17:33 environ
lrwxrwxrwx 1 root root 0 Apr 19 17:33 cwd -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 cpuset
-rw-r--r-- 1 root root 0 Apr 19 17:33 coredump_filter
-rw-r--r-- 1 root root 0 Apr 19 17:33 comm
--w------- 1 root root 0 Apr 19 17:33 clear_refs
-r--r--r-- 1 root root 0 Apr 19 17:33 cgroup
-r-------- 1 root root 0 Apr 19 17:33 auxv
-rw-r--r-- 1 root root 0 Apr 19 17:33 autogroup
dr-xr-xr-x 2 root root 0 Apr 19 17:33 attr
[/quote]
请教这到底是个什么东西,是否已经被入侵了