Linux的一个问题ircbot进程
首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com
今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程 而且更厉害的是cpu使用率高达百分之99
故事这样的 运行命令top
内容如下
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 127M 19M S 0.1 0.9 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.4 : httpd
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
当我看到第一行的时候第一感觉就是病毒- -!
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
这样的数据太吓人了 好吧根据id找下程序的位置
运行:
[root@mail log]# ls -l /proc//
total
dr-xr-xr-x root root Jun : attr
-r-------- root root Jun : auxv
-r--r--r-- root root Jun : cmdline
-r--r--r-- root root Jun : cpuset
lrwxrwxrwx root root Jun : cwd -> /
-r-------- root root Jun : environ
lrwxrwxrwx root root Jun : exe -> /usr/share/icbm/ircbot
dr-x------ root root Jun : fd
-rw-r--r-- root root Jun : loginuid
-r-------- root root Jun : maps
-rw------- root root Jun : mem
-r--r--r-- root root Jun : mounts
-r-------- root root Jun : mountstats
-rw-r--r-- root root Jun : oom_adj
-r--r--r-- root root Jun : oom_score
lrwxrwxrwx root root Jun : root -> /
-r--r--r-- root root Jun : schedstat
-r-------- root root Jun : smaps
-r--r--r-- root root Jun : stat
-r--r--r-- root root Jun : statm
-r--r--r-- root root Jun : status
dr-xr-xr-x root root Jun : task
-r--r--r-- root root Jun : wchan
ls -l /proc/2499/ext
[root@mail log]# ls -l /proc//exe
audit/ conman.old/ httpd/ messages. secure. spooler.
boot.log cron lastlog messages. secure. squid/
boot.log. cron. mail/ messages. secure. vbox/
boot.log. cron. maillog messages. secure. wtmp
boot.log. cron. maillog. mysqld.log setroubleshoot/ wtmp.
boot.log. cron. maillog. ppp/ spooler xferlog
boot.log.bak cups/ maillog. prelink/ spooler. yum.log
clamav/ dmesg maillog. samba/ spooler.
conman/ gdm/ messages secure spooler.
[root@mail log]# ls -l /proc//exe
lrwxrwxrwx root root Jun : /proc//exe -> /usr/share/icbm/ircbot
这里说明下exe为一个快捷方式Linux为软连接方法为:ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot
想打开这个文件看下内容不过发现打开的是乱码,cp下来在windows下很多编程工具软件也是打开乱码,可能是动了手脚
这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下
[root@mail ~]# ll -d /usr/share/icbm/
drwxr-xr-x root root Apr : /usr/share/icbm/
[root@mail ~]# ll /usr/share/icbm/*
-rwxrwxrwx 1 root root 1005 Jul 27 2012 /usr/share/icbm/flood.pl
-rwxrwxrwx 1 root root 135 Dec 14 2010 /usr/share/icbm/geekymedia.repo
-rwxrwxrwx 1 root root 1384 Oct 27 2012 /usr/share/icbm/getproxies.php
-rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
-rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
-rwxrwxrwx 1 root root 12700 Sep 18 2012 /usr/share/icbm/rpmforge.rpm
-rwxrwxrwx 1 root root 17072 Apr 12 2012 /usr/share/icbm/slowloris.pl
-rwxrwxrwx 1 root root 11087 Oct 26 2012 /usr/share/icbm/syn.pl
-rwxrwxrwx 1 root root 699 Jul 27 2012 /usr/share/icbm/udp.py
[root@mail ~]#
发现的问题是 这里面只有
7 -rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
8 -rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了,当然我有beckup
等待网友们的热心支援! 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统,但我不想那样,希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了,而且 free -m查看 swap的使用为0了
:48pm up min, user, load average: 0.33, 0.31, 0.13
processes: sleeping, running, zombie, stopped
CPU states: 0.7% user, 0.0% system, 0.0% nice, 99.2% idle
Mem: 2075480K av, 665456K used, 1410024K free, 0K shrd, 16496K buff
Swap: 2096472K av, 0K used, 2096472K free 297804K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M R 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 124M 16M S 0.1 0.8 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
root R 0.1 0.0 : top
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
[root@mail ~]# free -m
total used free shared buffers cached
Mem:
-/+ buffers/cache:
Swap:
在使用 top -p 2499 没有了。
不过还是很担心 因为怕病毒修改了系统的bin文件 哎还是精简测下这几天的服务器吧!
到目前为止的检测还算正常
Linux的一个问题ircbot进程的更多相关文章
- Linux下一个简单守护进程的实现 (Daemon)
在Linux/UNIX系统引导的时候会开启很多服务,这些服务称为守护进程(也叫Daemon进程).守护进程是脱离于控制终端并且在后台周期性地执行某种任务或等待处理某些事件的进程,脱离终端是为了避免进程 ...
- linux暂停一个在运行中的进程【转】
转自:https://blog.csdn.net/Tim_phper/article/details/53536621 转载于: http://www.cszhi.com/20120328/linux ...
- window 和 linux 环境下杀死tomcat进程——也可以解决其他端口被占用的问题
1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境 ...
- Linux下取代top的进程管理工具 htop
一.htop 简介 This is htop, an interactive process viewer for Linux. It is a text-mode application (for ...
- 【Linux】为啥查某个进程的线程,查出来的所有线程的pid不一样啊
楼上说的linux线程和进程是一样的,这个说法是错误的. 看了楼主的问题,感觉楼主是被PID给弄混了,线程进程都会有自己的ID,这个ID就叫做PID,PID是不特指进程ID,线程ID也可以叫做PID. ...
- Linux 下监控用户最大进程数参数(nproc)是否到达上限
Linux 下监控用户最大进程数参数(nproc)是否到达上限的步骤: 1.查看各系统用户的进程(LWP)数: 注意:默认情况下采用 ps 命令并不能显示出所有的进程.因为 Linux 环境下执行多线 ...
- Linux编程之《守护进程》
Intro ----- 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.守护进程常 ...
- Linux内存点滴:用户进程内存空间
原文出处:PerfGeeks 经常使用top命令了解进程信息,其中包括内存方面的信息.命令top帮助文档是这么解释各个字段的.VIRT , Virtual Image (kb)RES, Residen ...
- Linux内核学习笔记-2.进程管理
原创文章,转载请注明:Linux内核学习笔记-2.进程管理) By Lucio.Yang 部分内容来自:Linux Kernel Development(Third Edition),Robert L ...
随机推荐
- Zigbee技术特点
ZigBee工作原理 基于 ZigBee 的无线设备工作在 868MHZ, 915MHZ 和 2.4Z 频带.其最大数据速 率是 250Kbps. ZigBee 技术主要针对以电池为电源的应用,这些应 ...
- angular学习-入门基础
angular .caret,.dropup>.btn>.caret{border-top-color:#000!important}.label{border:1px solid #00 ...
- angular-scope.assign
<!doctype html> <html> <head> <meta charset="utf-8"> <title> ...
- 团队作业--Beta版本冲刺
项目冲刺随笔 第一天 第二天 第三天 第四天 第五天 第六天 第七天
- iOS运行时 -- Runtime(摘抄自网络)
运行时(iOS) 一.什么是运行时(Runtime)? 运行时是苹果提供的纯C语言的开发库(运行时是一种非常牛逼.开发中经常用到的底层技术) 二.运行时的作用? 能获得某个类的所有成员变量 能获得某个 ...
- poj1703 并查集
输入是2个不在一起的人,可以用一个数组来保存和他矛盾的人.这样find的时候就find(hash[]);就可以: #include<stdio.h> #include<string. ...
- BZOJ1083 繁忙的都市
Description 城市C是一个非常繁忙的大都市,城市中的道路十分的拥挤,于是市长决定对其中的道路进行改造.城市C的道路是这样分布的:城市中有n个交叉路口,有些交叉路口之间有道路相连,两个交叉路口 ...
- MVC模式的学生信息增删改查
准备:建一个名为 userdb的数据库.建一个student表,有stuid,stuname,gender三个字段.其中stuid为主键.j加入相应的驱动包,相应的JSTL标签 先看目录结构 代码: ...
- 轻量级应用开发之(10) UINavigationController导航控制器
一 多控制器 1)一个iOS的app很少只由一个控制器组成,除非这个app极其简单2)当app中有多个控制器的时候,我们就需要对这些控制器进行管理3)有多个view时,可以用一个大的view去管理1个 ...
- Swift开发学习-03 Swift技巧
一 两个数字交换算法 1.算法1 func swap(inout num1:int , inout num2:int){ num1 = num1 ^ num2 ; num2 = num1 ^ num2 ...