Home Sign Up Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
wuxqing
V2EX  ›  Linux

服务器被入侵, ps 无法找到一个进程信息,会是什么情况?

  •   
  •   wuxqing · Dec 7, 2016 · 7879 views
    This topic created in 3466 days ago, the information mentioned may be changed or developed.
    服务器被入侵,用作挖矿了。有个情况很奇怪

    CPU 全部 100%了,但是
    ps auxw --sort=%cpu 查不到

    用 top 也是看不到,大约间隔 15 左右会有一个 CPU 占比很高的进程出现(/usr/bin/xl2tpd ),这个就是挖矿的程序

    这个进程用名称和 PID 都无法查到
    ps -ef | grep 'xl2tpd'
    ps -p PID

    但是
    lsof 可以搜到
    lsof | grep 'xl2tpd'
    lsof -p PID

    ls /proc/PID 也是有信息的

    通过 lsof 搜到另一个进程
    xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
    执行程序:/usr/bin/systemd-network

    同样用 ps 也是查不到的
  • pid
  • lsof
  • CPU
  • xl2tpd
    22 replies    2016-12-09 10:59:13 +08:00
    Yinz
        1
    Yinz  
       Dec 7, 2016   ❤️ 2
    检查一下 ps 有没有被动手脚替换了或者修改了?
    wuxqing
        2
    wuxqing  
    OP
       Dec 7, 2016
    @Yinz 没错, ps 被改了,谢了!
    knightdf
        3
    knightdf  
       Dec 7, 2016
    @wuxqing 学习了!
    9hills
        4
    9hills  
       Dec 7, 2016
    这个程序,挖矿的时候也不说限制下 cpu 。。活该被发现啊
    RealLiuSha
        5
    RealLiuSha  
       Dec 7, 2016
    一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -
    skylancer
        6
    skylancer  
       Dec 7, 2016
    绝大多数这种情况都会被改 ps 和 top 的
    ixinshang
        7
    ixinshang  
       Dec 7, 2016 via Android
    其实我想问 怎么挖
    est
        8
    est  
       Dec 7, 2016
    http://www.freebuf.com/articles/system/117234.html

    syscall(__NR_hide) // 294 信号 。
    momi
        9
    momi  
       Dec 7, 2016
    https://github.com/xelerance/xl2tpd
    URL : https://www.xelerance.com/software/xl2tpd/
    Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)

    只要装了 NetworkManager ,这个包就会被安装,通过 systemd-network 启动的。。。。

    如果木马真的修改了 ps 、 top 之类的程序,那它肯定也会自我隐藏,你根本看不到的,牛 B 的木马,就算你从干净系统里搞一个静态链接的 ps 过去,也查不到,只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性,找出它。。。
    eoo
        10
    eoo  
       Dec 7, 2016 via Android
    学习学习
    leakless
        11
    leakless  
       Dec 7, 2016
    这种情况下先检查系统命令是否被做了手脚
    要是系统命令都被做了手脚。。备份一下重装吧
    mingyun
        12
    mingyun  
       Dec 7, 2016
    @Yinz 厉害了
    jon
        13
    jon  
       Dec 8, 2016
    怎么被黑的?
    Yechs
        14
    Yechs  
       Dec 8, 2016
    @lgpqdwjh 这个问题怎么解决呢 找不到源头 现在只能使用 crontab 1 分钟杀一次进程来解决
    abc123ccc
        15
    abc123ccc  
       Dec 8, 2016
    我也觉得只能重新安装系统了。
    Balthild
        16
    Balthild  
       Dec 8, 2016 via Android
    @momi xl2tpd 是一個 VPN 服務端,正常情況下不會佔用那麼高的 CPU ,用 ps 也能看到進程。因此應當是偽裝的。
    qunl
        17
    qunl  
       Dec 8, 2016
    学习学习
    Yechs
        18
    Yechs  
       Dec 8, 2016
    [root@aliyun~]# xl2tpd -V
    cpuminer 2.3.3
    built on Jul 1 2016
    features: x86_64 SSE2 AVX AVX2 XOP
    libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8
    wbangin
        19
    wbangin  
       Dec 8, 2016
    xl2tpd 是 l2tp vpn 的程序名,你这个是挖矿程序,被别人中了马用来挖矿?
    stormpeach
        20
    stormpeach  
       Dec 8, 2016
    一般这种情况木马是替换 ps 源程序还是就加个别名之类的?
    wuxqing
        21
    wuxqing  
    OP
       Dec 8, 2016
    是伪装成 xl2tpd 的挖矿程序
    ps 文件被替换了,不是别名
    初步判断是通过 redis 入侵的
    Mdrights
        22
    Mdrights  
       Dec 9, 2016 via iPhone
    問下,如果卸載了 Dbus 的話,是不是所有 daemon 都運行不了了?
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5817 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 106ms · UTC 02:51 · PVG 10:51 · LAX 19:51 · JFK 22:51
    ♥ Do have faith in what you're doing.