Linux的一个问题ircbot进程
首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com
今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程 而且更厉害的是cpu使用率高达百分之99
故事这样的 运行命令top
内容如下
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 127M 19M S 0.1 0.9 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.4 : httpd
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
当我看到第一行的时候第一感觉就是病毒- -!
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
这样的数据太吓人了 好吧根据id找下程序的位置
运行:
[root@mail log]# ls -l /proc//
total
dr-xr-xr-x root root Jun : attr
-r-------- root root Jun : auxv
-r--r--r-- root root Jun : cmdline
-r--r--r-- root root Jun : cpuset
lrwxrwxrwx root root Jun : cwd -> /
-r-------- root root Jun : environ
lrwxrwxrwx root root Jun : exe -> /usr/share/icbm/ircbot
dr-x------ root root Jun : fd
-rw-r--r-- root root Jun : loginuid
-r-------- root root Jun : maps
-rw------- root root Jun : mem
-r--r--r-- root root Jun : mounts
-r-------- root root Jun : mountstats
-rw-r--r-- root root Jun : oom_adj
-r--r--r-- root root Jun : oom_score
lrwxrwxrwx root root Jun : root -> /
-r--r--r-- root root Jun : schedstat
-r-------- root root Jun : smaps
-r--r--r-- root root Jun : stat
-r--r--r-- root root Jun : statm
-r--r--r-- root root Jun : status
dr-xr-xr-x root root Jun : task
-r--r--r-- root root Jun : wchan
ls -l /proc/2499/ext
[root@mail log]# ls -l /proc//exe
audit/ conman.old/ httpd/ messages. secure. spooler.
boot.log cron lastlog messages. secure. squid/
boot.log. cron. mail/ messages. secure. vbox/
boot.log. cron. maillog messages. secure. wtmp
boot.log. cron. maillog. mysqld.log setroubleshoot/ wtmp.
boot.log. cron. maillog. ppp/ spooler xferlog
boot.log.bak cups/ maillog. prelink/ spooler. yum.log
clamav/ dmesg maillog. samba/ spooler.
conman/ gdm/ messages secure spooler.
[root@mail log]# ls -l /proc//exe
lrwxrwxrwx root root Jun : /proc//exe -> /usr/share/icbm/ircbot
这里说明下exe为一个快捷方式Linux为软连接方法为:ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot
想打开这个文件看下内容不过发现打开的是乱码,cp下来在windows下很多编程工具软件也是打开乱码,可能是动了手脚
这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下
[root@mail ~]# ll -d /usr/share/icbm/
drwxr-xr-x root root Apr : /usr/share/icbm/
[root@mail ~]# ll /usr/share/icbm/*
-rwxrwxrwx 1 root root 1005 Jul 27 2012 /usr/share/icbm/flood.pl
-rwxrwxrwx 1 root root 135 Dec 14 2010 /usr/share/icbm/geekymedia.repo
-rwxrwxrwx 1 root root 1384 Oct 27 2012 /usr/share/icbm/getproxies.php
-rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
-rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
-rwxrwxrwx 1 root root 12700 Sep 18 2012 /usr/share/icbm/rpmforge.rpm
-rwxrwxrwx 1 root root 17072 Apr 12 2012 /usr/share/icbm/slowloris.pl
-rwxrwxrwx 1 root root 11087 Oct 26 2012 /usr/share/icbm/syn.pl
-rwxrwxrwx 1 root root 699 Jul 27 2012 /usr/share/icbm/udp.py
[root@mail ~]#
发现的问题是 这里面只有
7 -rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
8 -rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了,当然我有beckup
等待网友们的热心支援! 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统,但我不想那样,希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了,而且 free -m查看 swap的使用为0了
:48pm up min, user, load average: 0.33, 0.31, 0.13
processes: sleeping, running, zombie, stopped
CPU states: 0.7% user, 0.0% system, 0.0% nice, 99.2% idle
Mem: 2075480K av, 665456K used, 1410024K free, 0K shrd, 16496K buff
Swap: 2096472K av, 0K used, 2096472K free 297804K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M R 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 124M 16M S 0.1 0.8 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
root R 0.1 0.0 : top
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
[root@mail ~]# free -m
total used free shared buffers cached
Mem:
-/+ buffers/cache:
Swap:
在使用 top -p 2499 没有了。
不过还是很担心 因为怕病毒修改了系统的bin文件 哎还是精简测下这几天的服务器吧!
到目前为止的检测还算正常
Linux的一个问题ircbot进程的更多相关文章
- Linux下一个简单守护进程的实现 (Daemon)
在Linux/UNIX系统引导的时候会开启很多服务,这些服务称为守护进程(也叫Daemon进程).守护进程是脱离于控制终端并且在后台周期性地执行某种任务或等待处理某些事件的进程,脱离终端是为了避免进程 ...
- linux暂停一个在运行中的进程【转】
转自:https://blog.csdn.net/Tim_phper/article/details/53536621 转载于: http://www.cszhi.com/20120328/linux ...
- window 和 linux 环境下杀死tomcat进程——也可以解决其他端口被占用的问题
1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境 ...
- Linux下取代top的进程管理工具 htop
一.htop 简介 This is htop, an interactive process viewer for Linux. It is a text-mode application (for ...
- 【Linux】为啥查某个进程的线程,查出来的所有线程的pid不一样啊
楼上说的linux线程和进程是一样的,这个说法是错误的. 看了楼主的问题,感觉楼主是被PID给弄混了,线程进程都会有自己的ID,这个ID就叫做PID,PID是不特指进程ID,线程ID也可以叫做PID. ...
- Linux 下监控用户最大进程数参数(nproc)是否到达上限
Linux 下监控用户最大进程数参数(nproc)是否到达上限的步骤: 1.查看各系统用户的进程(LWP)数: 注意:默认情况下采用 ps 命令并不能显示出所有的进程.因为 Linux 环境下执行多线 ...
- Linux编程之《守护进程》
Intro ----- 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.守护进程常 ...
- Linux内存点滴:用户进程内存空间
原文出处:PerfGeeks 经常使用top命令了解进程信息,其中包括内存方面的信息.命令top帮助文档是这么解释各个字段的.VIRT , Virtual Image (kb)RES, Residen ...
- Linux内核学习笔记-2.进程管理
原创文章,转载请注明:Linux内核学习笔记-2.进程管理) By Lucio.Yang 部分内容来自:Linux Kernel Development(Third Edition),Robert L ...
随机推荐
- Jenkins进阶系列之——01使用email-ext替换Jenkins的默认邮件通知
1 简述 众所周知,Jenkins默认提供了一个邮件通知,能在构建失败.构建不稳定等状态后发送邮件.但是它本身有很多局限性,比如它的邮件通知无法提供详细的邮件内容.无法定义发送邮件的格式.无法定义灵活 ...
- Spring Cache和MyBatis的使用
1.http://www.importnew.com/22757.html spring chache缓存的使用. 2.http://www.importnew.com/22783.html ...
- split 方法的正确使用姿势
本文同步自我的个人博客:http://www.52cik.com/2015/11/02/split-skill.html 通过js获取 QueryString (location.search部分) ...
- Object C学习笔记19-枚举
一. 枚举类型 枚举类型是一个基本类型,不能再分为为任何其他的类型.在一般的编程语言中都有枚举(enum)这种数据结构类型.枚举类型主要用于将一个变量限定在特定的范围内.比如一周有七天,那么一周的值就 ...
- 一套简单可依赖的Javascript库
还是[百度]的产品——Tangram不是我偏心,百度不是我亲戚这东西看上去确实不错 Tangram是一套简单可依赖的Javascript库,主要分为Base和Component两部分.Base提供了开 ...
- oracle 分区表
分区表用途 分区表通过对分区列的判断,把分区列不同的记录,放到不同的分区中.分区完全对应用透明.Oracle的分区表可以包括多个分区,每个分区都是一个独立的段(SEGMENT),可以存放到不同的表空间 ...
- python~实现tab补全
文章摘自:http://www.jb51.net/article/58009.htm 第一.如在在vim下实现代码的补全功能. 想要为vim实现自动补全功能,则要下载插件 cd /usr/local/ ...
- Mybatis出现:无效的列类型: 1111 错误
在使用Mybatis时,不同的xml配置文件,有的会提示:无效的列类型: 1111 比如这个sql: update base.sys_person t set t.rybh=#{rybh},t.xm= ...
- iOS开发小技巧--父子控制器练习中get到的技能,控制核心动画的范围
一.未经过处理的动画是这样的,自定义的导航按钮也一起跟着转起来了. 二.自己想要的效果 三.实现这种效果的思想:核心动画要添加到view的layer上面,刚开始的情况是讲核心动画添加到了整个大view ...
- hdu2222 字典树
要注意二点 . 这组数据 1 6 she he he say shr her yasherhs出现重复的,也要算.所以这里答案为4: 这一组 1 6 she he he say shr her yas ...