xyuan980425
xyuan980425
2018-04-19 10:41
采纳率: 0%
浏览 2.6k

linux 出现可疑进程请教,杀掉后会自动生成

检查服务信息的时候发现有一个可疑的进程进行咨询 .zl 以及 .zlXXXXX 随机数字
其中 .zlXXXX 这个进程杀掉后还会自动启另外一个进程,数字就会变化了
crontab 没有发现定时任务
见截图
[img=https://img-bbs.csdn.net/upload/201804/19/1524133343_202513.png][/img]

通过 lsof 命令 分析这两个进程, 这两个进程信息如下
[quote]
lsof -p 1411
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.zl 1411 root cwd DIR 252,1 4096 2 /
.zl 1411 root rtd DIR 252,1 4096 2 /
.zl 1411 root txt REG 252,1 646674 1705185 /etc/.zl
.zl 1411 root 0r CHR 1,3 0t0 3845 /dev/null
.zl 1411 root 1u CHR 5,1 0t0 5457 /dev/console
.zl 1411 root 2u CHR 5,1 0t0 5457 /dev/console
[root@prodweb dev]# lsof -p 1586
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.lz151547 1586 root cwd DIR 252,1 4096 2 /
.lz151547 1586 root rtd DIR 252,1 4096 2 /
.lz151547 1586 root txt REG 252,1 646674 2101674 /tmp/.lz1515478938
.lz151547 1586 root 0r CHR 1,3 0t0 3845 /dev/null
.lz151547 1586 root 1u CHR 5,1 0t0 5457 /dev/console
.lz151547 1586 root 2u CHR 5,1 0t0 5457 /dev/console
[/quote]
进入到proc 下查看进程
[quote]
[root@prodweb dev]# cd /proc/1411
[root@prodweb 1411]# ls -ltr
total 0
dr-x------ 2 root root 0 Mar 29 18:45 fd
-r--r--r-- 1 root root 0 Apr 18 10:57 statm
lrwxrwxrwx 1 root root 0 Apr 18 11:13 exe -> /etc/.zl
-r--r--r-- 1 root root 0 Apr 18 14:07 stat
-r--r--r-- 1 root root 0 Apr 19 15:00 status
-r--r--r-- 1 root root 0 Apr 19 15:00 cmdline
-r--r--r-- 1 root root 0 Apr 19 17:33 wchan
dr-xr-xr-x 3 root root 0 Apr 19 17:33 task
-r--r--r-- 1 root root 0 Apr 19 17:33 syscall
-r--r--r-- 1 root root 0 Apr 19 17:33 stack
-r--r--r-- 1 root root 0 Apr 19 17:33 smaps
-r--r--r-- 1 root root 0 Apr 19 17:33 sessionid
-r--r--r-- 1 root root 0 Apr 19 17:33 schedstat
-rw-r--r-- 1 root root 0 Apr 19 17:33 sched
lrwxrwxrwx 1 root root 0 Apr 19 17:33 root -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 personality
-r--r--r-- 1 root root 0 Apr 19 17:33 pagemap
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_score_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 oom_score
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 numa_maps
dr-x--x--x 2 root root 0 Apr 19 17:33 ns
dr-xr-xr-x 4 root root 0 Apr 19 17:33 net
-r-------- 1 root root 0 Apr 19 17:33 mountstats
-r--r--r-- 1 root root 0 Apr 19 17:33 mounts
-r--r--r-- 1 root root 0 Apr 19 17:33 mountinfo
-rw------- 1 root root 0 Apr 19 17:33 mem
-r--r--r-- 1 root root 0 Apr 19 17:33 maps
-rw-r--r-- 1 root root 0 Apr 19 17:33 loginuid
-rw------- 1 root root 0 Apr 19 17:33 limits
-r-------- 1 root root 0 Apr 19 17:33 io
dr-x------ 2 root root 0 Apr 19 17:33 fdinfo
-r-------- 1 root root 0 Apr 19 17:33 environ
lrwxrwxrwx 1 root root 0 Apr 19 17:33 cwd -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 cpuset
-rw-r--r-- 1 root root 0 Apr 19 17:33 coredump_filter
-rw-r--r-- 1 root root 0 Apr 19 17:33 comm
--w------- 1 root root 0 Apr 19 17:33 clear_refs
-r--r--r-- 1 root root 0 Apr 19 17:33 cgroup
-r-------- 1 root root 0 Apr 19 17:33 auxv
-rw-r--r-- 1 root root 0 Apr 19 17:33 autogroup
dr-xr-xr-x 2 root root 0 Apr 19 17:33 attr

[/quote]
请教这到底是个什么东西,是否已经被入侵了

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 邀请回答

2条回答 默认 最新

  • jxdchina
    Shadj 2018-04-19 12:31
    1. 删除#/var/spool/cron下的自启动脚本,root和crontabs
    2. 删除/tmp/.lz1515478938 文件,并停掉相关进程
    3. 删除 /usr/local/aegis/Aegis-* 文件

    希望能有作用

    点赞 评论
  • qq_36791545
    qq_36791545 2018-09-03 13:04

    /var/spool/cron下果然有一个自启动病毒脚本,谢谢

    点赞 评论

相关推荐