xyuan980425 2018-04-19 10:41 采纳率: 0%
浏览 2638
已结题

linux 出现可疑进程请教,杀掉后会自动生成

检查服务信息的时候发现有一个可疑的进程进行咨询 .zl 以及 .zlXXXXX 随机数字
其中 .zlXXXX 这个进程杀掉后还会自动启另外一个进程,数字就会变化了
crontab 没有发现定时任务
见截图
[img=https://img-bbs.csdn.net/upload/201804/19/1524133343_202513.png][/img]

通过 lsof 命令 分析这两个进程, 这两个进程信息如下
[quote]
lsof -p 1411
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.zl 1411 root cwd DIR 252,1 4096 2 /
.zl 1411 root rtd DIR 252,1 4096 2 /
.zl 1411 root txt REG 252,1 646674 1705185 /etc/.zl
.zl 1411 root 0r CHR 1,3 0t0 3845 /dev/null
.zl 1411 root 1u CHR 5,1 0t0 5457 /dev/console
.zl 1411 root 2u CHR 5,1 0t0 5457 /dev/console
[root@prodweb dev]# lsof -p 1586
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.lz151547 1586 root cwd DIR 252,1 4096 2 /
.lz151547 1586 root rtd DIR 252,1 4096 2 /
.lz151547 1586 root txt REG 252,1 646674 2101674 /tmp/.lz1515478938
.lz151547 1586 root 0r CHR 1,3 0t0 3845 /dev/null
.lz151547 1586 root 1u CHR 5,1 0t0 5457 /dev/console
.lz151547 1586 root 2u CHR 5,1 0t0 5457 /dev/console
[/quote]
进入到proc 下查看进程
[quote]
[root@prodweb dev]# cd /proc/1411
[root@prodweb 1411]# ls -ltr
total 0
dr-x------ 2 root root 0 Mar 29 18:45 fd
-r--r--r-- 1 root root 0 Apr 18 10:57 statm
lrwxrwxrwx 1 root root 0 Apr 18 11:13 exe -> /etc/.zl
-r--r--r-- 1 root root 0 Apr 18 14:07 stat
-r--r--r-- 1 root root 0 Apr 19 15:00 status
-r--r--r-- 1 root root 0 Apr 19 15:00 cmdline
-r--r--r-- 1 root root 0 Apr 19 17:33 wchan
dr-xr-xr-x 3 root root 0 Apr 19 17:33 task
-r--r--r-- 1 root root 0 Apr 19 17:33 syscall
-r--r--r-- 1 root root 0 Apr 19 17:33 stack
-r--r--r-- 1 root root 0 Apr 19 17:33 smaps
-r--r--r-- 1 root root 0 Apr 19 17:33 sessionid
-r--r--r-- 1 root root 0 Apr 19 17:33 schedstat
-rw-r--r-- 1 root root 0 Apr 19 17:33 sched
lrwxrwxrwx 1 root root 0 Apr 19 17:33 root -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 personality
-r--r--r-- 1 root root 0 Apr 19 17:33 pagemap
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_score_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 oom_score
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 numa_maps
dr-x--x--x 2 root root 0 Apr 19 17:33 ns
dr-xr-xr-x 4 root root 0 Apr 19 17:33 net
-r-------- 1 root root 0 Apr 19 17:33 mountstats
-r--r--r-- 1 root root 0 Apr 19 17:33 mounts
-r--r--r-- 1 root root 0 Apr 19 17:33 mountinfo
-rw------- 1 root root 0 Apr 19 17:33 mem
-r--r--r-- 1 root root 0 Apr 19 17:33 maps
-rw-r--r-- 1 root root 0 Apr 19 17:33 loginuid
-rw------- 1 root root 0 Apr 19 17:33 limits
-r-------- 1 root root 0 Apr 19 17:33 io
dr-x------ 2 root root 0 Apr 19 17:33 fdinfo
-r-------- 1 root root 0 Apr 19 17:33 environ
lrwxrwxrwx 1 root root 0 Apr 19 17:33 cwd -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 cpuset
-rw-r--r-- 1 root root 0 Apr 19 17:33 coredump_filter
-rw-r--r-- 1 root root 0 Apr 19 17:33 comm
--w------- 1 root root 0 Apr 19 17:33 clear_refs
-r--r--r-- 1 root root 0 Apr 19 17:33 cgroup
-r-------- 1 root root 0 Apr 19 17:33 auxv
-rw-r--r-- 1 root root 0 Apr 19 17:33 autogroup
dr-xr-xr-x 2 root root 0 Apr 19 17:33 attr

[/quote]
请教这到底是个什么东西,是否已经被入侵了

  • 写回答

2条回答 默认 最新

  • Shadj 2018-04-19 12:31
    关注
    1. 删除#/var/spool/cron下的自启动脚本,root和crontabs
    2. 删除/tmp/.lz1515478938 文件,并停掉相关进程
    3. 删除 /usr/local/aegis/Aegis-* 文件

    希望能有作用

    评论

报告相同问题?

悬赏问题

  • ¥15 redis-full-check比较 两个集群的数据出错
  • ¥15 Labview机器人问题
  • ¥15 Matlab编程问题
  • ¥15 训练的多模态特征融合模型准确度很低怎么办
  • ¥15 kylin启动报错log4j类冲突
  • ¥15 超声波模块测距控制点灯,灯的闪烁很不稳定,经过调试发现测的距离偏大
  • ¥15 import arcpy出现importing _arcgisscripting 找不到相关程序
  • ¥15 onvif+openssl,vs2022编译openssl64
  • ¥15 iOS 自定义输入法-第三方输入法
  • ¥15 很想要一个很好的答案或提示