Linux的一个问题ircbot进程
首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com
今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程 而且更厉害的是cpu使用率高达百分之99
故事这样的 运行命令top
内容如下
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 127M 19M S 0.1 0.9 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.4 : httpd
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
当我看到第一行的时候第一感觉就是病毒- -!
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
这样的数据太吓人了 好吧根据id找下程序的位置
运行:
[root@mail log]# ls -l /proc//
total
dr-xr-xr-x root root Jun : attr
-r-------- root root Jun : auxv
-r--r--r-- root root Jun : cmdline
-r--r--r-- root root Jun : cpuset
lrwxrwxrwx root root Jun : cwd -> /
-r-------- root root Jun : environ
lrwxrwxrwx root root Jun : exe -> /usr/share/icbm/ircbot
dr-x------ root root Jun : fd
-rw-r--r-- root root Jun : loginuid
-r-------- root root Jun : maps
-rw------- root root Jun : mem
-r--r--r-- root root Jun : mounts
-r-------- root root Jun : mountstats
-rw-r--r-- root root Jun : oom_adj
-r--r--r-- root root Jun : oom_score
lrwxrwxrwx root root Jun : root -> /
-r--r--r-- root root Jun : schedstat
-r-------- root root Jun : smaps
-r--r--r-- root root Jun : stat
-r--r--r-- root root Jun : statm
-r--r--r-- root root Jun : status
dr-xr-xr-x root root Jun : task
-r--r--r-- root root Jun : wchan
ls -l /proc/2499/ext
[root@mail log]# ls -l /proc//exe
audit/ conman.old/ httpd/ messages. secure. spooler.
boot.log cron lastlog messages. secure. squid/
boot.log. cron. mail/ messages. secure. vbox/
boot.log. cron. maillog messages. secure. wtmp
boot.log. cron. maillog. mysqld.log setroubleshoot/ wtmp.
boot.log. cron. maillog. ppp/ spooler xferlog
boot.log.bak cups/ maillog. prelink/ spooler. yum.log
clamav/ dmesg maillog. samba/ spooler.
conman/ gdm/ messages secure spooler.
[root@mail log]# ls -l /proc//exe
lrwxrwxrwx root root Jun : /proc//exe -> /usr/share/icbm/ircbot
这里说明下exe为一个快捷方式Linux为软连接方法为:ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot
想打开这个文件看下内容不过发现打开的是乱码,cp下来在windows下很多编程工具软件也是打开乱码,可能是动了手脚
这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下
[root@mail ~]# ll -d /usr/share/icbm/
drwxr-xr-x root root Apr : /usr/share/icbm/
[root@mail ~]# ll /usr/share/icbm/*
-rwxrwxrwx 1 root root 1005 Jul 27 2012 /usr/share/icbm/flood.pl
-rwxrwxrwx 1 root root 135 Dec 14 2010 /usr/share/icbm/geekymedia.repo
-rwxrwxrwx 1 root root 1384 Oct 27 2012 /usr/share/icbm/getproxies.php
-rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
-rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
-rwxrwxrwx 1 root root 12700 Sep 18 2012 /usr/share/icbm/rpmforge.rpm
-rwxrwxrwx 1 root root 17072 Apr 12 2012 /usr/share/icbm/slowloris.pl
-rwxrwxrwx 1 root root 11087 Oct 26 2012 /usr/share/icbm/syn.pl
-rwxrwxrwx 1 root root 699 Jul 27 2012 /usr/share/icbm/udp.py
[root@mail ~]#
发现的问题是 这里面只有
7 -rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
8 -rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了,当然我有beckup
等待网友们的热心支援! 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统,但我不想那样,希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了,而且 free -m查看 swap的使用为0了
:48pm up min, user, load average: 0.33, 0.31, 0.13
processes: sleeping, running, zombie, stopped
CPU states: 0.7% user, 0.0% system, 0.0% nice, 99.2% idle
Mem: 2075480K av, 665456K used, 1410024K free, 0K shrd, 16496K buff
Swap: 2096472K av, 0K used, 2096472K free 297804K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M R 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 124M 16M S 0.1 0.8 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
root R 0.1 0.0 : top
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
[root@mail ~]# free -m
total used free shared buffers cached
Mem:
-/+ buffers/cache:
Swap:
在使用 top -p 2499 没有了。
不过还是很担心 因为怕病毒修改了系统的bin文件 哎还是精简测下这几天的服务器吧!
到目前为止的检测还算正常
Linux的一个问题ircbot进程的更多相关文章
- Linux下一个简单守护进程的实现 (Daemon)
在Linux/UNIX系统引导的时候会开启很多服务,这些服务称为守护进程(也叫Daemon进程).守护进程是脱离于控制终端并且在后台周期性地执行某种任务或等待处理某些事件的进程,脱离终端是为了避免进程 ...
- linux暂停一个在运行中的进程【转】
转自:https://blog.csdn.net/Tim_phper/article/details/53536621 转载于: http://www.cszhi.com/20120328/linux ...
- window 和 linux 环境下杀死tomcat进程——也可以解决其他端口被占用的问题
1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境 ...
- Linux下取代top的进程管理工具 htop
一.htop 简介 This is htop, an interactive process viewer for Linux. It is a text-mode application (for ...
- 【Linux】为啥查某个进程的线程,查出来的所有线程的pid不一样啊
楼上说的linux线程和进程是一样的,这个说法是错误的. 看了楼主的问题,感觉楼主是被PID给弄混了,线程进程都会有自己的ID,这个ID就叫做PID,PID是不特指进程ID,线程ID也可以叫做PID. ...
- Linux 下监控用户最大进程数参数(nproc)是否到达上限
Linux 下监控用户最大进程数参数(nproc)是否到达上限的步骤: 1.查看各系统用户的进程(LWP)数: 注意:默认情况下采用 ps 命令并不能显示出所有的进程.因为 Linux 环境下执行多线 ...
- Linux编程之《守护进程》
Intro ----- 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.守护进程常 ...
- Linux内存点滴:用户进程内存空间
原文出处:PerfGeeks 经常使用top命令了解进程信息,其中包括内存方面的信息.命令top帮助文档是这么解释各个字段的.VIRT , Virtual Image (kb)RES, Residen ...
- Linux内核学习笔记-2.进程管理
原创文章,转载请注明:Linux内核学习笔记-2.进程管理) By Lucio.Yang 部分内容来自:Linux Kernel Development(Third Edition),Robert L ...
随机推荐
- [CareerCup] 10.3 Integer not Contain in the File 文件中不包含的数
10.3 Given an input file with four billion non-negative integers, provide an algorithm to generate a ...
- 报这个错 unrecognized selector sent to instance
1.给一个对象赋空值: 2.调不存在的方法:3.数据类型不对.
- 你所不知道的Python奇技淫巧
有时候你会看到很Cool的Python代码,你惊讶于它的简洁,它的优雅,你不由自主地赞叹:竟然还能这样写.其实,这些优雅的代码都要归功于Python的特性,只要你能掌握这些Pythonic的技巧,你一 ...
- 云计算之路-阿里云上:2014年6月12日12点IIS请求到达量突降
今天中午12:00左右,在Windows性能监视器中突然发现SLB中的两台云服务器的IIS请求到达量(ArriveRate)突然下降,见下图: IIS日志中的情况如下: 综合以上情况,我们推测在12: ...
- 原生JS、CSS实现的转盘效果(目前仅支持webkit)
这是一个原生JS.CSS实现的转盘效果(题目在这:http://www.cnblogs.com/arfeizhang/p/turntable.html),花了半个小时左右,准备睡觉,所以先贴一段代码, ...
- css写一个梯形
<!DOCTYPE html><html> <head> <meta charset="UTF-8"> <title>D ...
- EasyUI——实现展示后台数据代码
下面是View显示代码: @{ ViewBag.Title = "Index"; Layout = "~/Views/Shared/_Layout.cshtml" ...
- nginx root && alias 文件路径配置
文章摘自:http://www.ttlsa.com/nginx/nginx-root_alias-file-path-configuration/ nginx指定文件路径有两种方式root和alias ...
- [转]DIV+CSS和TABLE的区别
现在全国大大小小的网站都在搞一场技术“革命”,就是所谓“网站重构”说简单点就是DIV+CSS进行网站制作.用DIV+CSS代替传统的Table制作框架和美化页面.百度搜索优化 在重构之前,肯定要了解为 ...
- 领域事件DomainEvents
静态类DomainEvents: public static class DomainEvents { [ThreadStatic] private static List<Delegate&g ...