搜索 :centos病毒
crontab的学习
https://www.cnblogs.com/aminxu/p/5993769.html
挖矿程序的简单处理方法(可以找到程序位置的才可使用这种方法)
https://blog.csdn.net/qq_32731747/article/details/81558561
由于免密造成被植入挖矿程序
https://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html
linux根据进程号PID查找启动程序的全路径
https://blog.csdn.net/lsbhjshyn/article/details/18764613
查看sh脚本是否执行,也可以观察是否有恶意程序时刻启动sh脚本
在crontab中添加了定时任务,但发现没有得到期望的结果,因而怀疑是crontab没有执行相应的任务,但怎么定位crontab是否执行呢?
这就需要查看crontab的执行历史记录,具体位置如下:
cd /var/log
tail -100 cron
在cron文件中即可查阅已经操作过的相关定时任务。
查看守护进程()一般病毒程序会
crontab -l
centos 根据PID找到文件的位置
top 得到pid
cd /proc/pid
ll
在列出的内容中exe指向的就是程序的绝对路径
查看定时任务
ls -l /etc/cron.*
- 获取进程的pid后,然后使用命令ls -l /proc/${pid},这个命令可以列出该进程的启动位置。
ll /proc/22551
Linux在启动一个进程时,系统会在/proc下创建一个以PID命名的文件夹:
执行命令ll /proc/PID
- cwd符号链接的是进程运行目录;
- exe符号连接就是执行程序的绝对路径;
- cmdline就是程序运行时输入的命令行命令;
- environ记录了进程运行时的环境变量;
- fd目录下是进程打开或使用的文件的符号连接,在该文件夹下会有我们的进程的信息;
- 其中包括一个名为exe的文件即记录了绝对路径,通过ll或ls l命令即可查看。
找到某进程启动路径的方法是:
1.我们可以从ps命令中得到僵死进程的PID,如上例中23347
2.进入/proc目录下以该PID命名的目录中
3.输入ls -ail,结果中 exe链接对应的就是可执行文件的全路经详细信息
[root@edu-web1 /] ls /proc/? 找到23347文件夹
[root@edu-web1 /] cd /proc/23347
[root@edu-web1 23347] ls –ail
使用chkconfig --list查看,居然没有异常的东西!
查看crontab日志
查看crontab列表
crontab -l
查看crontab日志
ls /var/log/cron*
cat /var/log/cron-20151011 |more
解决挖矿程序
查看定时任务
crontab -l
杀死定时任务
crontab -r
创建定时任务
crontab -e
网友评论