Linux的一个问题ircbot进程
首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com
今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程 而且更厉害的是cpu使用率高达百分之99
故事这样的 运行命令top
内容如下
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 127M 19M S 0.1 0.9 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.4 : httpd
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
当我看到第一行的时候第一感觉就是病毒- -!
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
这样的数据太吓人了 好吧根据id找下程序的位置
运行:
[root@mail log]# ls -l /proc//
total
dr-xr-xr-x root root Jun : attr
-r-------- root root Jun : auxv
-r--r--r-- root root Jun : cmdline
-r--r--r-- root root Jun : cpuset
lrwxrwxrwx root root Jun : cwd -> /
-r-------- root root Jun : environ
lrwxrwxrwx root root Jun : exe -> /usr/share/icbm/ircbot
dr-x------ root root Jun : fd
-rw-r--r-- root root Jun : loginuid
-r-------- root root Jun : maps
-rw------- root root Jun : mem
-r--r--r-- root root Jun : mounts
-r-------- root root Jun : mountstats
-rw-r--r-- root root Jun : oom_adj
-r--r--r-- root root Jun : oom_score
lrwxrwxrwx root root Jun : root -> /
-r--r--r-- root root Jun : schedstat
-r-------- root root Jun : smaps
-r--r--r-- root root Jun : stat
-r--r--r-- root root Jun : statm
-r--r--r-- root root Jun : status
dr-xr-xr-x root root Jun : task
-r--r--r-- root root Jun : wchan
ls -l /proc/2499/ext
[root@mail log]# ls -l /proc//exe
audit/ conman.old/ httpd/ messages. secure. spooler.
boot.log cron lastlog messages. secure. squid/
boot.log. cron. mail/ messages. secure. vbox/
boot.log. cron. maillog messages. secure. wtmp
boot.log. cron. maillog. mysqld.log setroubleshoot/ wtmp.
boot.log. cron. maillog. ppp/ spooler xferlog
boot.log.bak cups/ maillog. prelink/ spooler. yum.log
clamav/ dmesg maillog. samba/ spooler.
conman/ gdm/ messages secure spooler.
[root@mail log]# ls -l /proc//exe
lrwxrwxrwx root root Jun : /proc//exe -> /usr/share/icbm/ircbot
这里说明下exe为一个快捷方式Linux为软连接方法为:ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot
想打开这个文件看下内容不过发现打开的是乱码,cp下来在windows下很多编程工具软件也是打开乱码,可能是动了手脚
这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下
[root@mail ~]# ll -d /usr/share/icbm/
drwxr-xr-x root root Apr : /usr/share/icbm/
[root@mail ~]# ll /usr/share/icbm/*
-rwxrwxrwx 1 root root 1005 Jul 27 2012 /usr/share/icbm/flood.pl
-rwxrwxrwx 1 root root 135 Dec 14 2010 /usr/share/icbm/geekymedia.repo
-rwxrwxrwx 1 root root 1384 Oct 27 2012 /usr/share/icbm/getproxies.php
-rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
-rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
-rwxrwxrwx 1 root root 12700 Sep 18 2012 /usr/share/icbm/rpmforge.rpm
-rwxrwxrwx 1 root root 17072 Apr 12 2012 /usr/share/icbm/slowloris.pl
-rwxrwxrwx 1 root root 11087 Oct 26 2012 /usr/share/icbm/syn.pl
-rwxrwxrwx 1 root root 699 Jul 27 2012 /usr/share/icbm/udp.py
[root@mail ~]#
发现的问题是 这里面只有
7 -rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
8 -rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了,当然我有beckup
等待网友们的热心支援! 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统,但我不想那样,希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了,而且 free -m查看 swap的使用为0了
:48pm up min, user, load average: 0.33, 0.31, 0.13
processes: sleeping, running, zombie, stopped
CPU states: 0.7% user, 0.0% system, 0.0% nice, 99.2% idle
Mem: 2075480K av, 665456K used, 1410024K free, 0K shrd, 16496K buff
Swap: 2096472K av, 0K used, 2096472K free 297804K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M R 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 124M 16M S 0.1 0.8 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
root R 0.1 0.0 : top
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
[root@mail ~]# free -m
total used free shared buffers cached
Mem:
-/+ buffers/cache:
Swap:
在使用 top -p 2499 没有了。
不过还是很担心 因为怕病毒修改了系统的bin文件 哎还是精简测下这几天的服务器吧!
到目前为止的检测还算正常
Linux的一个问题ircbot进程的更多相关文章
- Linux下一个简单守护进程的实现 (Daemon)
在Linux/UNIX系统引导的时候会开启很多服务,这些服务称为守护进程(也叫Daemon进程).守护进程是脱离于控制终端并且在后台周期性地执行某种任务或等待处理某些事件的进程,脱离终端是为了避免进程 ...
- linux暂停一个在运行中的进程【转】
转自:https://blog.csdn.net/Tim_phper/article/details/53536621 转载于: http://www.cszhi.com/20120328/linux ...
- window 和 linux 环境下杀死tomcat进程——也可以解决其他端口被占用的问题
1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境 ...
- Linux下取代top的进程管理工具 htop
一.htop 简介 This is htop, an interactive process viewer for Linux. It is a text-mode application (for ...
- 【Linux】为啥查某个进程的线程,查出来的所有线程的pid不一样啊
楼上说的linux线程和进程是一样的,这个说法是错误的. 看了楼主的问题,感觉楼主是被PID给弄混了,线程进程都会有自己的ID,这个ID就叫做PID,PID是不特指进程ID,线程ID也可以叫做PID. ...
- Linux 下监控用户最大进程数参数(nproc)是否到达上限
Linux 下监控用户最大进程数参数(nproc)是否到达上限的步骤: 1.查看各系统用户的进程(LWP)数: 注意:默认情况下采用 ps 命令并不能显示出所有的进程.因为 Linux 环境下执行多线 ...
- Linux编程之《守护进程》
Intro ----- 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.守护进程常 ...
- Linux内存点滴:用户进程内存空间
原文出处:PerfGeeks 经常使用top命令了解进程信息,其中包括内存方面的信息.命令top帮助文档是这么解释各个字段的.VIRT , Virtual Image (kb)RES, Residen ...
- Linux内核学习笔记-2.进程管理
原创文章,转载请注明:Linux内核学习笔记-2.进程管理) By Lucio.Yang 部分内容来自:Linux Kernel Development(Third Edition),Robert L ...
随机推荐
- html5 canvas 粒子特效
不知不觉就已经好久没写过博客了,自从七月正式毕业后,离开了实习了将近九个月的老东家,进了鼠厂后,做的事都是比较传统的前端活,之前在tpy的时候只管做移动h5的特效以及小游戏,再加上实习所以时间比较充裕 ...
- 编写高质量代码--改善python程序的建议(六)
原文发表在我的博客主页,转载请注明出处! 建议二十八:区别对待可变对象和不可变对象 python中一切皆对象,每一个对象都有一个唯一的标识符(id()).类型(type())以及值,对象根据其值能否修 ...
- EF实体框架之CodeFirst三
前两篇博客学习了数据库映射和表映射,今天学习下数据库初始化.种子数据.EF执行sql以及执行存储过程这几个知识. 一.数据库初始化策略 数据库初始化有4种策略 策略一:数据库不存在时重新创建数据库 D ...
- requirejs自己的学习
1.最新版本的RequireJS压缩后只有14K. 2.模块化,不在使用全局变量,都用块级作用域包装. 3.防止js加载阻止页面渲染. 4.避免出现多个javascript的标签.
- javascript继承(二)—创建对象的三种模式
一.工厂模式 function createPerson(name,age){ var o = {}; o.name = name; o.age = age; o.sayHi = function() ...
- 第十六章:脚本化HTTP
写在本章内容前: 第十五章:事件处理 涉及到到较多的文字篇幅,介于个人精力问题,暂不更新.主要包含的内容有事件类型.注册事件处理程序.事件处理程序的调用.文档加载事件.鼠标事件.鼠标滚轮事件.拖放事件 ...
- iOS UI基础-17.0 UILable之NSMutableAttributedString
在iOS开发中,常常会有一段文字显示不同的颜色和字体,或者给某几个文字加删除线或下划线的需求.之前在网上找了一些资料,有的是重绘UILabel的textLayer,有的是用html5实现的,都比较麻烦 ...
- javascript this 详解
前言 Javascript是一门基于对象的动态语言,也就是说,所有东西都是对象,一个很典型的例子就是函数也被视为普通的对象.Javascript可以通过一定的设计模式来实现面向对象的编程,其中this ...
- BZOJ-1901 Zju2112 Dynamic Rankings 函数式线段树 套 树状数组+离线处理
1901: Zju2112 Dynamic Rankings Time Limit: 10 Sec Memory Limit: 128 MB Submit: 6058 Solved: 2521 [Su ...
- [转]ubuntu安装光盘修复grub-rescue引导失败问题
Reference:http://liujianqiao398.blog.163.com/blog/static/181827257201292775649815/ 1.步骤一 以试用方式进入ubun ...