首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
宝塔
V2EX  ›  Linux

服务器被入侵, ps 无法找到一个进程信息,会是什么情况?

  •  
  •   wuxqing · 2016-12-07 15:06:55 +08:00 · 5490 次点击
    这是一个创建于 1076 天前的主题,其中的信息可能已经有所发展或是发生改变。
    服务器被入侵,用作挖矿了。有个情况很奇怪

    CPU 全部 100%了,但是
    ps auxw --sort=%cpu 查不到

    用 top 也是看不到,大约间隔 15 左右会有一个 CPU 占比很高的进程出现(/usr/bin/xl2tpd ),这个就是挖矿的程序

    这个进程用名称和 PID 都无法查到
    ps -ef | grep 'xl2tpd'
    ps -p PID

    但是
    lsof 可以搜到
    lsof | grep 'xl2tpd'
    lsof -p PID

    ls /proc/PID 也是有信息的

    通过 lsof 搜到另一个进程
    xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
    执行程序:/usr/bin/systemd-network

    同样用 ps 也是查不到的
    22 回复  |  直到 2016-12-09 10:59:13 +08:00
        1
    Yinz   2016-12-07 15:17:54 +08:00   ♥ 2
    检查一下 ps 有没有被动手脚替换了或者修改了?
        2
    wuxqing   2016-12-07 15:21:52 +08:00
    @Yinz 没错, ps 被改了,谢了!
        3
    knightdf   2016-12-07 15:40:18 +08:00
    @wuxqing 学习了!
        4
    9hills   2016-12-07 15:42:54 +08:00
    这个程序,挖矿的时候也不说限制下 cpu 。。活该被发现啊
        5
    lgpqdwjh   2016-12-07 18:52:48 +08:00
    一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -
        6
    skylancer   2016-12-07 20:09:49 +08:00
    绝大多数这种情况都会被改 ps 和 top 的
        7
    ixinshang   2016-12-07 20:45:16 +08:00 via Android
    其实我想问 怎么挖
        8
    est   2016-12-07 21:07:18 +08:00
    http://www.freebuf.com/articles/system/117234.html

    syscall(__NR_hide) // 294 信号 。
        9
    momi   2016-12-07 21:23:32 +08:00
    https://github.com/xelerance/xl2tpd
    URL : https://www.xelerance.com/software/xl2tpd/
    Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)

    只要装了 NetworkManager ,这个包就会被安装,通过 systemd-network 启动的。。。。

    如果木马真的修改了 ps 、 top 之类的程序,那它肯定也会自我隐藏,你根本看不到的,牛 B 的木马,就算你从干净系统里搞一个静态链接的 ps 过去,也查不到,只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性,找出它。。。
        10
    eoo   2016-12-07 22:25:32 +08:00 via Android
    学习学习
        11
    leakless   2016-12-07 22:41:36 +08:00
    这种情况下先检查系统命令是否被做了手脚
    要是系统命令都被做了手脚。。备份一下重装吧
        12
    mingyun   2016-12-07 23:05:57 +08:00
    @Yinz 厉害了
        13
    jon   2016-12-08 00:31:45 +08:00
    怎么被黑的?
        14
    Yechs   2016-12-08 09:00:02 +08:00
    @lgpqdwjh 这个问题怎么解决呢 找不到源头 现在只能使用 crontab 1 分钟杀一次进程来解决
        15
    abc123ccc   2016-12-08 09:14:29 +08:00
    我也觉得只能重新安装系统了。
        16
    Balthild   2016-12-08 09:23:36 +08:00 via Android
    @momi xl2tpd 是一個 VPN 服務端,正常情況下不會佔用那麼高的 CPU ,用 ps 也能看到進程。因此應當是偽裝的。
        17
    qunl   2016-12-08 09:34:44 +08:00
    学习学习
        18
    Yechs   2016-12-08 10:24:35 +08:00
    [[email protected]~]# xl2tpd -V
    cpuminer 2.3.3
    built on Jul 1 2016
    features: x86_64 SSE2 AVX AVX2 XOP
    libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8
        19
    wbangin   2016-12-08 11:09:05 +08:00
    xl2tpd 是 l2tp vpn 的程序名,你这个是挖矿程序,被别人中了马用来挖矿?
        20
    stormpeach   2016-12-08 13:34:11 +08:00
    一般这种情况木马是替换 ps 源程序还是就加个别名之类的?
        21
    wuxqing   2016-12-08 14:11:23 +08:00
    是伪装成 xl2tpd 的挖矿程序
    ps 文件被替换了,不是别名
    初步判断是通过 redis 入侵的
        22
    Mdrights   2016-12-09 10:59:13 +08:00 via iPhone
    問下,如果卸載了 Dbus 的話,是不是所有 daemon 都運行不了了?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2691 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 12:09 · PVG 20:09 · LAX 04:09 · JFK 07:09
    ♥ Do have faith in what you're doing.