linux 出现可疑进程请教,杀掉后会自动生成 5C

检查服务信息的时候发现有一个可疑的进程进行咨询 .zl 以及 .zlXXXXX 随机数字
其中 .zlXXXX 这个进程杀掉后还会自动启另外一个进程,数字就会变化了
crontab 没有发现定时任务
见截图
[img=https://img-bbs.csdn.net/upload/201804/19/1524133343_202513.png][/img]

通过 lsof 命令 分析这两个进程, 这两个进程信息如下
[quote]
lsof -p 1411
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.zl 1411 root cwd DIR 252,1 4096 2 /
.zl 1411 root rtd DIR 252,1 4096 2 /
.zl 1411 root txt REG 252,1 646674 1705185 /etc/.zl
.zl 1411 root 0r CHR 1,3 0t0 3845 /dev/null
.zl 1411 root 1u CHR 5,1 0t0 5457 /dev/console
.zl 1411 root 2u CHR 5,1 0t0 5457 /dev/console
[root@prodweb dev]# lsof -p 1586
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.lz151547 1586 root cwd DIR 252,1 4096 2 /
.lz151547 1586 root rtd DIR 252,1 4096 2 /
.lz151547 1586 root txt REG 252,1 646674 2101674 /tmp/.lz1515478938
.lz151547 1586 root 0r CHR 1,3 0t0 3845 /dev/null
.lz151547 1586 root 1u CHR 5,1 0t0 5457 /dev/console
.lz151547 1586 root 2u CHR 5,1 0t0 5457 /dev/console
[/quote]
进入到proc 下查看进程
[quote]
[root@prodweb dev]# cd /proc/1411
[root@prodweb 1411]# ls -ltr
total 0
dr-x------ 2 root root 0 Mar 29 18:45 fd
-r--r--r-- 1 root root 0 Apr 18 10:57 statm
lrwxrwxrwx 1 root root 0 Apr 18 11:13 exe -> /etc/.zl
-r--r--r-- 1 root root 0 Apr 18 14:07 stat
-r--r--r-- 1 root root 0 Apr 19 15:00 status
-r--r--r-- 1 root root 0 Apr 19 15:00 cmdline
-r--r--r-- 1 root root 0 Apr 19 17:33 wchan
dr-xr-xr-x 3 root root 0 Apr 19 17:33 task
-r--r--r-- 1 root root 0 Apr 19 17:33 syscall
-r--r--r-- 1 root root 0 Apr 19 17:33 stack
-r--r--r-- 1 root root 0 Apr 19 17:33 smaps
-r--r--r-- 1 root root 0 Apr 19 17:33 sessionid
-r--r--r-- 1 root root 0 Apr 19 17:33 schedstat
-rw-r--r-- 1 root root 0 Apr 19 17:33 sched
lrwxrwxrwx 1 root root 0 Apr 19 17:33 root -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 personality
-r--r--r-- 1 root root 0 Apr 19 17:33 pagemap
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_score_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 oom_score
-rw-r--r-- 1 root root 0 Apr 19 17:33 oom_adj
-r--r--r-- 1 root root 0 Apr 19 17:33 numa_maps
dr-x--x--x 2 root root 0 Apr 19 17:33 ns
dr-xr-xr-x 4 root root 0 Apr 19 17:33 net
-r-------- 1 root root 0 Apr 19 17:33 mountstats
-r--r--r-- 1 root root 0 Apr 19 17:33 mounts
-r--r--r-- 1 root root 0 Apr 19 17:33 mountinfo
-rw------- 1 root root 0 Apr 19 17:33 mem
-r--r--r-- 1 root root 0 Apr 19 17:33 maps
-rw-r--r-- 1 root root 0 Apr 19 17:33 loginuid
-rw------- 1 root root 0 Apr 19 17:33 limits
-r-------- 1 root root 0 Apr 19 17:33 io
dr-x------ 2 root root 0 Apr 19 17:33 fdinfo
-r-------- 1 root root 0 Apr 19 17:33 environ
lrwxrwxrwx 1 root root 0 Apr 19 17:33 cwd -> /
-r--r--r-- 1 root root 0 Apr 19 17:33 cpuset
-rw-r--r-- 1 root root 0 Apr 19 17:33 coredump_filter
-rw-r--r-- 1 root root 0 Apr 19 17:33 comm
--w------- 1 root root 0 Apr 19 17:33 clear_refs
-r--r--r-- 1 root root 0 Apr 19 17:33 cgroup
-r-------- 1 root root 0 Apr 19 17:33 auxv
-rw-r--r-- 1 root root 0 Apr 19 17:33 autogroup
dr-xr-xr-x 2 root root 0 Apr 19 17:33 attr

[/quote]
请教这到底是个什么东西,是否已经被入侵了

0

2个回答

  1. 删除#/var/spool/cron下的自启动脚本,root和crontabs
  2. 删除/tmp/.lz1515478938 文件,并停掉相关进程
  3. 删除 /usr/local/aegis/Aegis-* 文件

希望能有作用

1

/var/spool/cron下果然有一个自启动病毒脚本,谢谢

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
linux可疑程序追踪
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的另
阿里云Linux系统被攻击的处理过程
  4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的《毁灭之城:地球碎块》,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器【阿里云】”。用“gmail”打开邮件,没有太多有用的内容:“经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽...
CentOS下如何查看并杀死僵尸进程及kill后出现问题的解决办法
原版来源:opsers.org 作者:羽飞博客 转载网址:http://www.centoscn.com/CentOS/Intermediate/2014/1107/4084.html 昨天服务器到期,之前的服务器由于空间小,不能满足现在的服务要求,就新购买了一个服务器,目前正在调试安装中!在调试过程中,发现系统中有很多僵尸进程,现在就是找出这些僵尸进程,并将其杀死。用top查看系统中的僵尸
linux如何杀死可以自动启动的程序
1: 找到这些进程的父进程, ps -ef |grep pid 并 找到所有这些进程的启动程序路径。看到可疑的程序全部用 kill -9 杀死进程后,并按路径删除你找到的程序文件 2: 检查chkconfig --list 里面的服务,看是否有可疑的服务, 进程自启动是否被 chkconfig --list里面的某服务带起来的 3:检查 /etc/rc.local 里面看是否有可疑内容 4
linux, kill掉占用60%多cpu的进程,几秒后换个pid 和 command 又出现?
快速清理木马流程    假设木马的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目录下面查看 1、首先锁定三个目录,不能让新木马文件产生 1 2 3 4 chmod 000 /usr/bin/nshbsjdy chattr +i /usr/bin chattr +i /bin c
linux取证之可疑程序分析
linux平台下可疑程序分析 对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。 检查恶意程序的准则: 建立环境基准 VMware建立模拟环境 分析之前,首先保留受害系统在可疑代码运行前的快照 同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。 Open Source Tripwire工具:用于监控数据完整性以及在...
杀掉运行超过5分钟以上指定服务的进程
需求背景:  有个libreoffice服务,正常情况下运行几秒钟就会自动结束,但是有时候因为机器资源占用过多、或机器配置太低等原因会导致该进程僵死,这样下次调用该业务时会有影响,所以需要将该服务运行时间超过5分钟的进程杀掉。 思路: 1.通过ps获取该服务的PID和运行时间; 2.判断运行时间是否超过5分钟(这里转换为300秒了); 3.根据判断结果确定是否杀掉进程; 4.通过cro...
Linux中如何杀掉任务进程?
跑仿真时,因为各种原因,导致仿真软件没有了反应,而且点击关闭也无法响应。 这该怎么办? 百度了之后,从许多博客/经验/知道中提取了两个有用的命令。 特此记录,以备后续使用。 第一步: ps -ef | grep XXXX 这个命令的意思是,显示当前服务器上,与关键字XXXX有关的任务。一般XXXX,可以是用户名. 比如用户名是abc,执行命令: ps -ef | grep abc...
Linux上无法杀掉redis进程
在Linux上,如果开了redis的守护进程,kill -9和redis-cli shutdown 命令是无法杀掉 redis 进程的 ,杀掉就会重新启动一个新的进程 最后在网上找到这个命令: /etc/init.d/redis-server stop...
linux系统tomcat应为被定时任务脚本监控自动部署,服务器重启导致同一个tomcat出现很多进程,kill -9杀死又出现等一系列问题解决。
linux系统tomcat应为被定时任务脚本监控自动部署,服务器重启导致同一个tomcat出现很多进程,kill -9杀死又出现等一系列问题解决。 如图#ps -ef|grep tomcat查看tomcat进程,同一个tomcat有很多一样的进程,kill -9杀完过一会又会出现,且pid随时发生改变。 我首先想到第一时间去tomcat的bin目录下去执行#./shutdown命令
进程被莫名杀掉(killed)
问题:问题:服务启动后,进程被莫名killed 环境:搭建个es的服务设置内存192M,系统内存1G 报错:search.sh: line 6: 6961 Killed xxxx原因说明:linux是杀掉当前最占用内存的进程。 当linux报OOM时,意味着整个系统的内存已经不足,如果不杀死进程的话,就会导致系统的崩溃。每个进程都会存有一个oom_score的参数,比如输出pid为988的o
彻底杀死ngnix进程方法
如果ps -ef | grep ngnix 后,在kill -QUIT process_id杀不死。 就用fuser -n tcp 80 ,查看那个进程运行,然后选第一个kill。  
一次简单的windows可疑进程排查
0X00查看已经建立的进程 netstat -ano | find “ESTABLISHED” 0X01查看已经建立的进程 tasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe 结束该进程:在任务管理器中选中该进程...
Mac mysql 被 kill 后仍旧不断重启的解决办法
主要是 LaunchDeamons 在令 mysqld 不断重启。。。 此处的 plist 文件,如果文件名不完全一致,可以直接 cd 到 /Library/LaunchDaemons/ 找到对应的 mysqld.plist 文件。sudo launchctl unload -w /Library/LaunchDaemons/com.oracle.oss.mysql.mysqld.plist sud
linux查找并杀掉进程
比如查找java ps -ef | grep java | awk ‘{print $2}’ | xargs kill -9
linux 一个命令杀掉特定进程
在linux 系统中,杀掉一个进程需要首先使用ps 找到进程的pid,然后使用kill 命令杀掉指定进程。这一个操作需要执行两个命令,通过将这两个命令合并为一个脚本,并将脚本加入环境变量,可以只使用一个命令杀掉进程 编辑脚本gkill #!/bin/bash content=$1 ps -ef | grep ${content} | grep -v grep | awk '{print $...
LINUX查找进程并杀掉
从百度上找各种文章,那个各种抄袭啊,我就是想搜个进程然后杀掉,就这么简单,你是不是也是这个需求,比如,我就是想直接执行个shell脚本把tomcat杀掉,下面的就是正经脚本,拿走不谢! engpid=`ps -ef|grep tomcat|grep -v 'grep'|awk '{print $2}'` echo 'pid is :'$engpid if [[ "$engpid" != "" ...
Linux如何kill杀掉进程
杀掉进程有两种方法:进程号和进程名字 方法一:杀掉进程号 $ ps 找到进程号 $ kill -9 进程号 方法二:杀掉进程名字 $ ps 同样需要找到进程的名字 $ killall 进程名 最后使用 ps 检查下效果!!
linux命令行如何杀掉java进程
杀掉java进程  pkill -9 java
oracle的后台进程杀掉会有什么影响
以下练习出自于DBA思想的天空: 数据库版本为: 10.2.0.1.0在启动数据库之后,出现的进程为 oracle 20037 1 0 06:46 ? 00:00:00 ora_pmon_orcl oracle 20039 1 0 06:46 ? 00:00:00 ora_psp0_orcl oracle 2004
linux如何杀掉进程(kill)
使用“ps -e|grep mysql”命令,查看mysql程序的对应的pid号。结果如下图: 使用“kill -9 2891”命令,可以结束掉mysqld_safe进程。 使用"killall mysqld"命令,可以杀掉所有已mysqld命名的进程。 kill命令详解如
linux, kill掉占用60%多cpu的进程,几秒后换个pid 和 command 又出现
转自linux, kill掉占用60%多cpu的进程,几秒后换个pid 和 command 又出现?快速清理木马流程。 假设木马的名字是xysbqaxjqy,如果top看不到,可以在/etc/init.d目录下面查看1、首先锁定三个目录,不能让新木马文件产生 chmod 000 /usr/bin/xysbqaxjqy chattr +i /usr/bin chattr +i /bin
linux杀掉指定关键字的进程
比如关掉picgen相关的进程: ps -ef|grep picgen | tr -s ' '|cut -d' ' -f2 | xargs kill -9  
Linux下批量杀掉筛选进程
Linux环境下,利用ps,kill等命令批量关闭符合筛选条件的进程
linux 下杀掉进程的n种方法
常规篇:  首先,用ps查看进程,方法如下: $ ps -ef …… smx       1822     1  0 11:38 ?        00:00:49 gnome-terminal smx       1823  1822  0 11:38 ?        00:00:00 gnome-pty-helper smx       1824  1822  0 1
杀掉占用指定端口的进程
有时启动tomcat,会启动失败,说端口已经被占用,那么到底是哪个程序占用了端口呢? 如何判断是哪个进程(程序)占用了指定的端口呢? 下面我会分两个平台(windows,linux)来进行详细说明 windows 系统 通过如下命令查找占用指定端口的pid(进程id)netstat -ano|findstr <指定的端口号>例如,查找占用端口8080 的进程 说明pid为1532 的进程占
如何杀掉D,Z状态的进程
状态为 D (Uninterruptible sleep) ,以及状态为 Z (Zombie)这些垃圾进程要么是求而不得,像怨妇一般等待资源(D),要么是僵而不死,像冤魂一样等待超度(Z),它们在 CPU run_queue 里滞留不去,把 Load Average 弄的老高老高,没看过我前一篇blog的国际友人还以为这儿民怨沸腾又出了什么大事呢。怎么办?开枪!kill -9!看你们走是不走。
linux下如何杀掉D状态进程
D状态(disk sleep)进程用kill -9命令是不管用的,最简单的方法就是reboot, 除此还可以修改内核,将其进程状态转化为别的状态,然后kill掉。 新建文件夹, cd进去,新建killd.c 文件,代码如下:#include <linux/init.h> #include <linux/kernel.h> /*Needed by all modules*/ #include <l
redhat下杀掉所有java进程
实施中一台服务器常部署多个JBOSS,当需要重启时常规方法会用 ps -a|grep java  命令查出所有JBOSS进程的PID,然后用 kill -9 PID  命令逐一杀掉进程。 这种方式较麻烦,可以用以下命令代替,一次杀掉所有查出的进程 ps -ef|grep jboss|grep -v grep|awk '{print $2}'|xargs kill -9   ...
Linux用shell一次性杀指定进程的方法和Linux命令杀掉符合条件的所有进程
本文主要讲解下面两个内容: 1、Linux用shell一次性杀指定进程的方法 2、Linux命令杀掉符合条件的所有进程 Linux用shell一次性杀指定进程的方法 需要把 linux 下符合某一项条件的所有进程 kill 掉,这个时候我们需要运用 ps, grep, cut 和 kill 一起操作。 面给出具体的参考:两种方法 ps -ef|grep 'Jps'|grep -v ...
【CentOS运维】--解决恶意进程
4解决恶意进程4.1查询进程# top       可以看到进程号6186的acdtd消耗CPU比较高400%,属于恶意进程,使用Ctrl + C结束进程查看。4.2 查询进程信息# ll /proc/6186       # ll /proc/6186 其中6186是上面查询出来的进程号。4.3 杀死进程# kill -9 6186       同样的6186是进程号4.4 删除进程源文件# c...
一条命令杀掉linux下的一个jar进程
方法一: 一条命令杀掉linux下的一个jar进程 ps -ef | grep hello.jar | grep -v grep | awk '{print $2}' | xargs kill -9 筛选出带hello.jar的进程,去掉带grep的,提取出pid,kill -9 杀掉 方法二: kill -9 `ps -ef | grep hello.jar | grep -v g
linux下根据关键字批量杀掉进程
http://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.html http://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.html http://www.cnblogs.com/lichkingct/archive/2010/08/27/1810463.html
Linux/Mac 检索某个进程并且杀掉进程
ps -ef |grep psnamekill -9 psnumber
linux杀掉带有特定进程的脚本
shuttomcat PS = `ps -ef | grep java |grep tomcat | awk '{print$2}'` for f in $PS { echo $f kill -9 $f }
linux下查看进程并杀掉进程
很多时候你会遇到不小心启动了多个tomcat的情况,那么会造成端口的占用,tomcat会出现异常,这就需要将之前的占用的端口进程杀掉… 看下面↓看是否已经有tomcat在运行了 ps -ef |grep tomcat 如果有,用kill; kill -9 pid #pid 为相应的进程号 例如 ps -ef |grep tomcat 输出如下 sun 5144 1 0 10:21 pt
Linux 杀死某个用户的所有进程
在一台100多人使用的 SUN 服务器上经常发现有人滥用资源,平时用用就算了,到了交作业的时候100多号人同时登录使用,服务器明显迟缓,特别是实验室用的是瘦客户机,没硬盘,SUN 客户端需要从服务器装载系统镜像,而且编译、运行程序都要在服务器上完成。如果发现某个用户运行很多进程,并且进程还有子进程,怎么能方便的找出全部进程并 kill 掉呢? ps -ef | grep ^usernam
清除WAS的僵死进程
“百足之虫,至死不僵,以扶之者众也。”                              ————三国·魏·曹冏《六代论》一、背景:僵死进程让人心烦意乱                          在日常的维护中,在紧急情况下需要kill -9杀掉WAS的进程后,WAS会自动重启server,但是与此同时你又在管理控制台重启server,因为WAS在:进程定义-监控策略的常规
Linux 杀掉所有Java进程
1.   Linux查看所有Java进程ps -ef | grep java | grep -v grep (是在列出的进程中去除含有关键字&quot;grep&quot;的进程)2. 使用awk分割结果,获取PIDawk '{print $2}'ps -ef | grep java | grep -v grep | awk '{print $2}'3. 杀死进程 kill -9 PIDxargs 作用是将参数列表转...
nohup和杀掉进程
看了个油管 视屏 so let 's  type sleep 100&amp;amp;and then type fg to see the background and then we can press ctrl C to terminate that process.so whit if we type nohup sleep 200pgrep sleep checking for the slee...
文章热词 设计制作学习 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 大数据培训后会java 请教python学习路线