linux 出现可疑进程请教,杀掉后会自动生成 5C

检查服务信息的时候发现有一个可疑的进程进行咨询 .zl 以及 .zlXXXXX 随机数字
其中 .zlXXXX 这个进程杀掉后还会自动启另外一个进程,数字就会变化了
crontab 没有发现定时任务
见截图
[img=https://img-bbs.csdn.net/upload/201804/19/1524133343_202513.png][/img]

通过 lsof 命令 分析这两个进程, 这两个进程信息如下
[quote]
lsof -p 1411
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.zl 1411 root cwd DIR 252,1 4096 2 /
.zl 1411 root rtd DIR 252,1 4096 2 /
.zl 1411 root txt REG 252,1 646674 1705185 /etc/.zl
.zl 1411 root 0r CHR 1,3 0t0 3845 /dev/null
.zl 1411 root 1u CHR 5,1 0t0 5457 /dev/console
.zl 1411 root 2u CHR 5,1 0t0 5457 /dev/console
[root@prodweb dev]# lsof -p 1586
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.lz151547 1586 root cwd DIR 252,1 4096 2 /
.lz151547 1586 root rtd DIR 252,1 4096 2 /
.lz151547 1586 root txt REG 252,1 646674 2101674 /tmp/.lz1515478938
.lz151547 1586 root 0r CHR 1,3 0t0 3845 /dev/null
.lz151547 1586 root 1u CHR 5,1 0t0 5457 /dev/console
.lz151547 1586 root 2u CHR 5,1 0t0 5457 /dev/console
[/quote]
进入到proc 下查看进程
[quote]
[root@prodweb dev]# cd /proc/1411
[root@prodweb 1411]# ls -ltr
total 0
dr-x------ 2 root root 0 Mar 29 18:45 fd
-r--r--r-- 1 root root 0 Apr 18 10:57 statm
lrwxrwxrwx 1 root root 0 Apr 18 11:13 exe -> /etc/.zl
-r--r--r-- 1 root root 0 Apr 18 14:07 stat
-r--r--r-- 1 root root 0 Apr 19 15:00 status
-r--r--r-- 1 root root 0 Apr 19 15:00 cmdline
-r--r--r-- 1 root root 0 Apr 19 17:33 wchan
dr-xr-xr-x 3 root root 0 Apr 19 17:33 task
-r--r--r-- 1 root root 0 Apr 19 17:33 syscall
-r--r--r-- 1 root root 0 Apr 19 17:33 stack
-r--r--r-- 1 root root 0 Apr 19 17:33 smaps
-r--r--r-- 1 root root 0 Apr 19 17:33 sessionid
-r--r--r-- 1 root root 0 Apr 19 17:33 schedstat
-rw-r--r-- 1 root root 0 Apr 19 17:33 sched
lrwxrwxrwx 1 root root 0 Apr 19 17:33 root -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 personality
-r--r--r-- 1 root root 0 Apr 19 17:33 pagemap
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_score_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 oom_score
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 numa_maps
dr-x--x--x 2 root root 0 Apr 19 17:33 ns
dr-xr-xr-x 4 root root 0 Apr 19 17:33 net
-r-------- 1 root root 0 Apr 19 17:33 mountstats
-r--r--r-- 1 root root 0 Apr 19 17:33 mounts
-r--r--r-- 1 root root 0 Apr 19 17:33 mountinfo
-rw------- 1 root root 0 Apr 19 17:33 mem
-r--r--r-- 1 root root 0 Apr 19 17:33 maps
-rw-r--r-- 1 root root 0 Apr 19 17:33 loginuid
-rw------- 1 root root 0 Apr 19 17:33 limits
-r-------- 1 root root 0 Apr 19 17:33 io
dr-x------ 2 root root 0 Apr 19 17:33 fdinfo
-r-------- 1 root root 0 Apr 19 17:33 environ
lrwxrwxrwx 1 root root 0 Apr 19 17:33 cwd -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 cpuset
-rw-r--r-- 1 root root 0 Apr 19 17:33 coredump_filter
-rw-r--r-- 1 root root 0 Apr 19 17:33 comm
--w------- 1 root root 0 Apr 19 17:33 clear_refs
-r--r--r-- 1 root root 0 Apr 19 17:33 cgroup
-r-------- 1 root root 0 Apr 19 17:33 auxv
-rw-r--r-- 1 root root 0 Apr 19 17:33 autogroup
dr-xr-xr-x 2 root root 0 Apr 19 17:33 attr

[/quote]
请教这到底是个什么东西,是否已经被入侵了

0

2个回答

  1. 删除#/var/spool/cron下的自启动脚本,root和crontabs
  2. 删除/tmp/.lz1515478938 文件,并停掉相关进程
  3. 删除 /usr/local/aegis/Aegis-* 文件

希望能有作用

1

/var/spool/cron下果然有一个自启动病毒脚本,谢谢

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
linux可疑程序追踪
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的另
linux取证之可疑程序分析
linux平台下可疑程序分析nnn对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。n检查恶意程序的准则:nn建立环境基准nnVMware建立模拟环境n分析之前,首先保留受害系统在可疑代码运行前的快照n同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。nnOpen Source Tripwire工具:用于监控数据完整性以及在...
阿里云Linux系统被攻击的处理过程
  4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的《毁灭之城:地球碎块》,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器【阿里云】”。用“gmail”打开邮件,没有太多有用的内容:“经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽...
CentOS下如何查看并杀死僵尸进程及kill后出现问题的解决办法
原版来源:opsers.org 作者:羽飞博客 n转载网址:http://www.centoscn.com/CentOS/Intermediate/2014/1107/4084.html n 昨天服务器到期,之前的服务器由于空间小,不能满足现在的服务要求,就新购买了一个服务器,目前正在调试安装中!在调试过程中,发现系统中有很多僵尸进程,现在就是找出这些僵尸进程,并将其杀死。用top查看系统中的僵尸
杀掉运行超过5分钟以上指定服务的进程
需求背景: nn有个libreoffice服务,正常情况下运行几秒钟就会自动结束,但是有时候因为机器资源占用过多、或机器配置太低等原因会导致该进程僵死,这样下次调用该业务时会有影响,所以需要将该服务运行时间超过5分钟的进程杀掉。nn思路:nn1.通过ps获取该服务的PID和运行时间;nn2.判断运行时间是否超过5分钟(这里转换为300秒了);nn3.根据判断结果确定是否杀掉进程;nn4.通过cro...
查找可疑系统进程的方式(例如multidropper)
首先  使用nmap工具   查看可疑开发端口和服务名称rnrnrnnmap -sS  x.x.x.x(IP地址)rnrnrnrnrnrnrn然后去对应主机内去查。rnrnrn目前可知开放端口为  1035rnrnrn在主机cmd内  使用命令:netstat    -anornrnrn可以查看到  对应端口的进程PIDrnrnrn然后在资源管理器内 查看  PID对应的线程是什么。
linux系统tomcat应为被定时任务脚本监控自动部署,服务器重启导致同一个tomcat出现很多进程,kill -9杀死又出现等一系列问题解决。
linux系统tomcat应为被定时任务脚本监控自动部署,服务器重启导致同一个tomcat出现很多进程,kill -9杀死又出现等一系列问题解决。nnn如图#ps -ef|grep tomcat查看tomcat进程,同一个tomcat有很多一样的进程,kill -9杀完过一会又会出现,且pid随时发生改变。nn我首先想到第一时间去tomcat的bin目录下去执行#./shutdown命令
一次简单的windows可疑进程排查
0X00查看已经建立的进程nnnetstat -ano | find “ESTABLISHED” n nnnnn0X01查看已经建立的进程nntasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe n n结束该进程:在任务管理器中选中该进程...
linux查找并杀掉进程
比如查找java nps -ef | grep java | awk ‘{print $2}’ | xargs kill -9
Linux如何kill杀掉进程
杀掉进程有两种方法:进程号和进程名字rn方法一:杀掉进程号rn$ psrn找到进程号rn$ kill -9 进程号rnrn方法二:杀掉进程名字rn$ psrn同样需要找到进程的名字rn$ killall 进程名rnrn最后使用 ps 检查下效果!!
Linux中如何杀掉任务进程?
跑仿真时,因为各种原因,导致仿真软件没有了反应,而且点击关闭也无法响应。 n这该怎么办? n百度了之后,从许多博客/经验/知道中提取了两个有用的命令。 n特此记录,以备后续使用。nn第一步: nps -ef | grep XXXX n这个命令的意思是,显示当前服务器上,与关键字XXXX有关的任务。一般XXXX,可以是用户名. n比如用户名是abc,执行命令: nps -ef | grep abc...
linux 一个命令杀掉特定进程
在linux 系统中,杀掉一个进程需要首先使用ps 找到进程的pid,然后使用kill 命令杀掉指定进程。这一个操作需要执行两个命令,通过将这两个命令合并为一个脚本,并将脚本加入环境变量,可以只使用一个命令杀掉进程 n编辑脚本gkillnnnn#!/bin/bashncontent=$1nps -ef | grep ${content} | grep -v grep | awk '{print $...
Linux下Kill多个同名进程
ps -efww|grep processname|grep -v grep|cut -c 9-15|xargs kill -9rnrn  管道符“|”用来隔开两个命令,管道符左边命令的输出会作为管道符右边命令的输入。下面说说用管道符联接起来的几个命令:rnrn  “ps -efww”是查看所有进程的命令。这时检索出的进程将作为下一条命令“grep processname”的输入。rnrn ...
linux杀掉指定关键字的进程
比如关掉picgen相关的进程:nnnps -ef|grep picgen | tr -s ' '|cut -d' ' -f2 | xargs kill -9nn 
linux 下杀掉tomcat进程
目的 : linux 下杀掉进程rnrnrnrn起因 : 远端服务器同一个 tomcat 起了两个进程rnrnrn命令 : kill -s 9 tomcat 进程 IDrnrnrntomcat 进程 ID 可以 ps -ef | grep  tomcat 查看
Linux用shell一次性杀指定进程的方法和Linux命令杀掉符合条件的所有进程
本文主要讲解下面两个内容:nn1、Linux用shell一次性杀指定进程的方法nn2、Linux命令杀掉符合条件的所有进程nnLinux用shell一次性杀指定进程的方法n需要把 linux 下符合某一项条件的所有进程 kill 掉,这个时候我们需要运用 ps, grep, cut 和 kill 一起操作。nn面给出具体的参考:两种方法nnnnps -ef|grep 'Jps'|grep -v ...
Linux杀掉MySQL进程(关键词:Linux/MySQL/杀死进程/mysql/mysqld)
1.查看mysql程序对应的进程号使用命令: nps nps -e|grep mysql2.杀死mysql进程使用命令: nsudo kill -9 mysql的进程号3.杀死mysqld进程使用命令: nsudo killall mysqld4.检查是否还有mysql进程存在使用命令: nps nps -e|grep mysql参考文献: nlinux如何杀掉进程(kill)
Linux 查看并杀掉tomcat进程
启动/停止tomcat nbin/startup.sh #启动tomcatnnbin/shutdown.sh #停止tomcatnntail -f logs/catalina.out #看tomcat的控制台输出;nn看是否已经有tomcat在运行了 nps -ef |grep tomcatnnkill进程 nkill -9 pid #pid 为相应的进程号nn直接查看指定端口的进程pid nne...
redhat下杀掉所有java进程
rn实施中一台服务器常部署多个JBOSS,当需要重启时常规方法会用rnps -a|grep javarn 命令查出所有JBOSS进程的PID,然后用rnkill -9 PIDrn 命令逐一杀掉进程。rn这种方式较麻烦,可以用以下命令代替,一次杀掉所有查出的进程rnps -ef|grep jboss|grep -v grep|awk '{print $2}'|xargs kill -9rn rn...
Linux批量杀掉带有某个关键字的进程
ps -ef|grep xxxxxx|grep -v grep |awk ‘{print $2}’|xargs killrnxxxxxx——要杀掉的进程关键字rn解释:列出包含关键字的进程,除去当前的grep进程,输出第二列(进程ID),kill掉rnrn...
Linux/Mac 检索某个进程并且杀掉进程
ps -ef |grep psnamekill -9 psnumber
linux下根据关键字批量杀掉进程
http://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.htmlnnhttp://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.htmlnnhttp://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.html
Linux下批量杀掉筛选进程
Linux环境下,利用ps,kill等命令批量关闭符合筛选条件的进程
Mac mysql 被 kill 后仍旧不断重启的解决办法
主要是 LaunchDeamons 在令 mysqld 不断重启。。。 此处的 plist 文件,如果文件名不完全一致,可以直接 cd 到 /Library/LaunchDaemons/ 找到对应的 mysqld.plist 文件。sudo launchctl unload -w /Library/LaunchDaemons/com.oracle.oss.mysql.mysqld.plistnsud
linux一行命令查找进程并杀掉进程
命令:rnrnps -ef | grep redis | awk '{print $2}' | xargs kill -9rnrnrnrnrn用法rnrn#先查看下进程rnrnrnrn[root@S019875 ~]# ps -ef|grep redisrnrnroot     19734 19677  0 11:31 pts/1    00:00:00 src/redis-server *:63
Linux 杀死某个用户的所有进程
找出username用户所有进程包括子进程并全部kill掉nnnps -ef | grep ^username | cut -c 10-15 | xargs kill -9nn找出所有与 username相关的进程,然后 grep -v 过滤掉 PID 只剩下进程信息,然后逐行 kill 掉,如下:nnnps -u username | grep -v PID | cut -c 0-5 | xar...
Linux中如何杀掉任务进程
网上有很多教程,但是其实用的最多的无非就是通过pid号杀死和通过名字杀死nn一、通过名字杀死 killall namenn二、通过id号杀死 kill pidnn三、通过获取名字的pid号再杀死id号nnPID=ps | grep "name*" | sed -n '1p' | awk '{printf $1}'nnkill -9 PIDnnname的查询可以通过ps命令或者执行pgrep nam...
Linux 杀掉所有Java进程
1.   Linux查看所有Java进程ps -ef | grep java | grep -v grep (是在列出的进程中去除含有关键字"grep"的进程)2. 使用awk分割结果,获取PIDawk '{print $2}'ps -ef | grep java | grep -v grep | awk '{print $2}'3. 杀死进程 kill -9 PIDxargs 作用是将参数列表转...
Android APP 主动杀死进程后又重启的情况分析
最近有一个需求,在APP内点击某按钮后跳转到Launcher的某页面,同时杀掉自身APP。nn一个很简单的需求,结果实现起来却出现了问题。。。T Tnn最开始,我就想着直接用 nnnnandroid.os.Process.killProcess(android.os.Process.myPid());n或者nSystem.exit(0);nnn大家知道这两个方法,都可以杀掉当前app的进程,但是当...
Linux 杀死同名进程
nps -efww|grep python3 |grep -v grep|cut -c 9-15|xargs kill -9nn 
linux -- 杀死指定端口号的进程
n#杀死特定端口号的进程n#方法一:n kill -9 `lsof -i:18100 | awk 'NR==2{print $2}'`n#方法二: n kill -9 `lsof -i | grep 18100 | awk '{print $2}'`n#方法三:n kill -9 `ss -antlup | grep 18100 | awk '{print $7}' | awk ...
linux下查找并杀掉tomcat进程
1、查找 n ps -ef |grep tomcat n打印如下 n[root@202 logs]# ps -ef |grep tomcat nroot 1359 1 99 22:09 ? 00:24:55 /home/jdk1.7.0_76/jre/bin/java -Djava.util.logging.config.file=/home/apache-tomc
linux下杀掉某用户所有进程,并删除该用户
killall -u username rnuserdel username
Linux下杀死顽固进程
rn一. Linux 杀死顽固进程rnLinux进程状态成 Z(TASK_Zoombie),T(TASK_Stopped or Traced)时,无法用kill -9 杀死。rn1.一般情况下进程进入僵尸状态时,会被init进程接管,会自动消亡,可不用理会。rn2.当进程被调试状态时(当运行gdb或strace命令时),会向进程发送一个STOPPED信号,导致进程进入TASK_STOPPED状态。...
linux 杀进程 所有weblogic进程
kill $(ps -ef|awk '/weblogic.NodeManager/{print $2;exit}')
如何在linux下杀死nohup提交到后台运行的程序?
方法1:nnn如果没有退出客户端界面,可以先通过 “jobs” 命令查看程序是否在运行,此时只有序号没有PID号;n输入命令 “jobs -l” 会显示程序的PID号,然后通过 “kill -9 PID”杀死程序;n输入命令 “jobs” 查看程序是否被杀死。nnn方法2:nnn如果退出过客户端界面,输入 “jobs” 命令查不到正在运行的程序;n输入 “ps ux” 来查看所有程序的进程号PID...
linux kill 杀一个进程
1. 用ps查看进程pidnn    ps -ef|grep php-fpmnnnn2. 杀掉进程nn kill 933nn3. 查看进程并杀掉nnkill -s 9  `ps -ef|grep -v grep |grep 'resign sign'|awk '{print $2}'`nn 
根据PID杀掉进程
1.找到对应的进程nnn通过端口查找 nnlsof -i:端口号nnnetstat -tunlp | grep 端口nnnnnlsof -i:9500nn nnnnnetstat -tunlp | grep 9500nn2.根据对应的PID杀掉进程nnnkill PIDn
linux强制杀死某个端口进程命令
程序猿日常nn又快过年了!nnnlinux强制杀死某个端口进程命令,例如80端口:nnsudo fuser -k -n tcp 80
linux杀死指定端口的进程
netstat -apn | grep 4040nkill -9 pid
文章热词 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型 设计制作学习
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 大数据培训后会java 请教python学习路线