美文网首页
服务器被肉鸡

服务器被肉鸡

作者: 昵称又重复 | 来源:发表于2019-05-09 20:31 被阅读0次

    搜索 :centos病毒

    crontab的学习
    https://www.cnblogs.com/aminxu/p/5993769.html

    挖矿程序的简单处理方法(可以找到程序位置的才可使用这种方法)
    https://blog.csdn.net/qq_32731747/article/details/81558561

    由于免密造成被植入挖矿程序
    https://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html

    linux根据进程号PID查找启动程序的全路径
    https://blog.csdn.net/lsbhjshyn/article/details/18764613

    查看sh脚本是否执行,也可以观察是否有恶意程序时刻启动sh脚本
    在crontab中添加了定时任务,但发现没有得到期望的结果,因而怀疑是crontab没有执行相应的任务,但怎么定位crontab是否执行呢?
    这就需要查看crontab的执行历史记录,具体位置如下:
    cd /var/log
    tail -100 cron
    在cron文件中即可查阅已经操作过的相关定时任务。

    查看守护进程()一般病毒程序会
    crontab -l

    centos 根据PID找到文件的位置
    top 得到pid
    cd /proc/pid
    ll
    在列出的内容中exe指向的就是程序的绝对路径

    查看定时任务
    ls -l /etc/cron.*

    1. 获取进程的pid后,然后使用命令ls -l /proc/${pid},这个命令可以列出该进程的启动位置。
      ll /proc/22551

    Linux在启动一个进程时,系统会在/proc下创建一个以PID命名的文件夹:
    执行命令ll /proc/PID

    • cwd符号链接的是进程运行目录;
    • exe符号连接就是执行程序的绝对路径;
    • cmdline就是程序运行时输入的命令行命令;
    • environ记录了进程运行时的环境变量;
    • fd目录下是进程打开或使用的文件的符号连接,在该文件夹下会有我们的进程的信息;
    • 其中包括一个名为exe的文件即记录了绝对路径,通过ll或ls l命令即可查看。

    找到某进程启动路径的方法是:
    1.我们可以从ps命令中得到僵死进程的PID,如上例中23347
    2.进入/proc目录下以该PID命名的目录中
    3.输入ls -ail,结果中 exe链接对应的就是可执行文件的全路经详细信息
    [root@edu-web1 /] ls /proc/? 找到23347文件夹
    [root@edu-web1 /] cd /proc/23347

    [root@edu-web1 23347] ls –ail

    使用chkconfig --list查看,居然没有异常的东西!
    查看crontab日志

    查看crontab列表

    crontab -l

    查看crontab日志

    ls /var/log/cron*
    cat /var/log/cron-20151011 |more

    解决挖矿程序
    查看定时任务
    crontab -l
    杀死定时任务
    crontab -r
    创建定时任务
    crontab -e

    相关文章

      网友评论

          本文标题:服务器被肉鸡

          本文链接:https://www.haomeiwen.com/subject/bgggoqtx.html