Linux的一个问题ircbot进程
首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com
今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程 而且更厉害的是cpu使用率高达百分之99
故事这样的 运行命令top
内容如下
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 127M 19M S 0.1 0.9 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.4 : httpd
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
当我看到第一行的时候第一感觉就是病毒- -!
[root@mail log]# top
Unknown HZ value! () Assume . :25am up days, :, users, load average: 1.76, 1.91, 1.97
processes: sleeping, running, zombie, stopped
CPU states: 1.3% user, 0.9% system, 0.0% nice, 97.7% idle
Mem: 2075480K av, 2000952K used, 74528K free, 0K shrd, 193716K buff
Swap: 2096472K av, 32464K used, 2064008K free 1296772K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
root T 6.5 0.0 22094m ircbot
这样的数据太吓人了 好吧根据id找下程序的位置
运行:
[root@mail log]# ls -l /proc//
total
dr-xr-xr-x root root Jun : attr
-r-------- root root Jun : auxv
-r--r--r-- root root Jun : cmdline
-r--r--r-- root root Jun : cpuset
lrwxrwxrwx root root Jun : cwd -> /
-r-------- root root Jun : environ
lrwxrwxrwx root root Jun : exe -> /usr/share/icbm/ircbot
dr-x------ root root Jun : fd
-rw-r--r-- root root Jun : loginuid
-r-------- root root Jun : maps
-rw------- root root Jun : mem
-r--r--r-- root root Jun : mounts
-r-------- root root Jun : mountstats
-rw-r--r-- root root Jun : oom_adj
-r--r--r-- root root Jun : oom_score
lrwxrwxrwx root root Jun : root -> /
-r--r--r-- root root Jun : schedstat
-r-------- root root Jun : smaps
-r--r--r-- root root Jun : stat
-r--r--r-- root root Jun : statm
-r--r--r-- root root Jun : status
dr-xr-xr-x root root Jun : task
-r--r--r-- root root Jun : wchan
ls -l /proc/2499/ext
[root@mail log]# ls -l /proc//exe
audit/ conman.old/ httpd/ messages. secure. spooler.
boot.log cron lastlog messages. secure. squid/
boot.log. cron. mail/ messages. secure. vbox/
boot.log. cron. maillog messages. secure. wtmp
boot.log. cron. maillog. mysqld.log setroubleshoot/ wtmp.
boot.log. cron. maillog. ppp/ spooler xferlog
boot.log.bak cups/ maillog. prelink/ spooler. yum.log
clamav/ dmesg maillog. samba/ spooler.
conman/ gdm/ messages secure spooler.
[root@mail log]# ls -l /proc//exe
lrwxrwxrwx root root Jun : /proc//exe -> /usr/share/icbm/ircbot
这里说明下exe为一个快捷方式Linux为软连接方法为:ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot
想打开这个文件看下内容不过发现打开的是乱码,cp下来在windows下很多编程工具软件也是打开乱码,可能是动了手脚
这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下
[root@mail ~]# ll -d /usr/share/icbm/
drwxr-xr-x root root Apr : /usr/share/icbm/
[root@mail ~]# ll /usr/share/icbm/*
-rwxrwxrwx 1 root root 1005 Jul 27 2012 /usr/share/icbm/flood.pl
-rwxrwxrwx 1 root root 135 Dec 14 2010 /usr/share/icbm/geekymedia.repo
-rwxrwxrwx 1 root root 1384 Oct 27 2012 /usr/share/icbm/getproxies.php
-rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
-rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
-rwxrwxrwx 1 root root 12700 Sep 18 2012 /usr/share/icbm/rpmforge.rpm
-rwxrwxrwx 1 root root 17072 Apr 12 2012 /usr/share/icbm/slowloris.pl
-rwxrwxrwx 1 root root 11087 Oct 26 2012 /usr/share/icbm/syn.pl
-rwxrwxrwx 1 root root 699 Jul 27 2012 /usr/share/icbm/udp.py
[root@mail ~]#
发现的问题是 这里面只有
7 -rwxr-xr-x 1 root root 27788 Apr 8 01:09 /usr/share/icbm/ircbot
8 -rwxrwxrwx 1 root root 204562 Apr 7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了,当然我有beckup
等待网友们的热心支援! 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统,但我不想那样,希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了,而且 free -m查看 swap的使用为0了
:48pm up min, user, load average: 0.33, 0.31, 0.13
processes: sleeping, running, zombie, stopped
CPU states: 0.7% user, 0.0% system, 0.0% nice, 99.2% idle
Mem: 2075480K av, 665456K used, 1410024K free, 0K shrd, 16496K buff
Swap: 2096472K av, 0K used, 2096472K free 297804K cached PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
daemon 10M R 0.3 0.5 : httpd
daemon 10M S 0.3 0.5 : httpd
root 124M 16M S 0.1 0.8 : mysqld
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
daemon 10M S 0.1 0.5 : httpd
root R 0.1 0.0 : top
root S 0.0 0.0 : init
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
root 0K SW 0.0 0.0 : migration/
root SWN 0.0 0.0 : ksoftirqd/
root 0K SW 0.0 0.0 : watchdog/
[root@mail ~]# free -m
total used free shared buffers cached
Mem:
-/+ buffers/cache:
Swap:
在使用 top -p 2499 没有了。
不过还是很担心 因为怕病毒修改了系统的bin文件 哎还是精简测下这几天的服务器吧!
到目前为止的检测还算正常
Linux的一个问题ircbot进程的更多相关文章
- Linux下一个简单守护进程的实现 (Daemon)
在Linux/UNIX系统引导的时候会开启很多服务,这些服务称为守护进程(也叫Daemon进程).守护进程是脱离于控制终端并且在后台周期性地执行某种任务或等待处理某些事件的进程,脱离终端是为了避免进程 ...
- linux暂停一个在运行中的进程【转】
转自:https://blog.csdn.net/Tim_phper/article/details/53536621 转载于: http://www.cszhi.com/20120328/linux ...
- window 和 linux 环境下杀死tomcat进程——也可以解决其他端口被占用的问题
1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境 ...
- Linux下取代top的进程管理工具 htop
一.htop 简介 This is htop, an interactive process viewer for Linux. It is a text-mode application (for ...
- 【Linux】为啥查某个进程的线程,查出来的所有线程的pid不一样啊
楼上说的linux线程和进程是一样的,这个说法是错误的. 看了楼主的问题,感觉楼主是被PID给弄混了,线程进程都会有自己的ID,这个ID就叫做PID,PID是不特指进程ID,线程ID也可以叫做PID. ...
- Linux 下监控用户最大进程数参数(nproc)是否到达上限
Linux 下监控用户最大进程数参数(nproc)是否到达上限的步骤: 1.查看各系统用户的进程(LWP)数: 注意:默认情况下采用 ps 命令并不能显示出所有的进程.因为 Linux 环境下执行多线 ...
- Linux编程之《守护进程》
Intro ----- 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.守护进程常 ...
- Linux内存点滴:用户进程内存空间
原文出处:PerfGeeks 经常使用top命令了解进程信息,其中包括内存方面的信息.命令top帮助文档是这么解释各个字段的.VIRT , Virtual Image (kb)RES, Residen ...
- Linux内核学习笔记-2.进程管理
原创文章,转载请注明:Linux内核学习笔记-2.进程管理) By Lucio.Yang 部分内容来自:Linux Kernel Development(Third Edition),Robert L ...
随机推荐
- Linux(10.18-10.25)学习笔记
一.学习目标 1. 了解常见的存储技术(RAM.ROM.磁盘.固态硬盘等) 2. 理解局部性原理 3. 理解缓存思想 4. 理解局部性原理和缓存思想在存储层次结构中的应用 5. 高速缓存的原理和应用 ...
- 动画:UIKitAnimation 简单动画学习 iOS (一) 渐变 、 移动 、翻页、来回翻转 ——转载
转载请说明(谢谢) http://blog.csdn.net/a21064346/article/details/7851695 点击打开链接 以下 一个系列的 动画效果 在 UIView.h文件中可 ...
- 学习Java第一卷--态度的转变
你对自己的未来有什么规划?做了哪些准备? 认真学习,修身养性,做自己感兴趣的,在大学一定学好Java,将自己的专业学好学精. 我觉得未来十几年或几十年是自己无法完全控制的,只有自己朝着自己心中的目标努 ...
- 整合 Bing translator 到自己的系统中
整合这个功能, 是因为 aliexpress 的买家来自不同国家, 我的 "小卖家" 同步到买家的留言, 很多西班牙,俄罗斯等小语种的文字, 看不懂. Google 被墙, 基本很 ...
- ARP 命令运行实现静态IP/MAC绑定
公司网络出现本地无法连接,以前公司是分配的固定IP,结果还是无法连接网络,后来网管帮我设置了下,我也学习了下.解决办法如下: 1.首先以管理员身份运行CMD打开命令行程序 开始-程序-附件-命令提示符 ...
- 第四十一课:CSS3 animation详解
animation是css3的另一个重要的模块,它成型比transition晚,吸取了Flash的关键帧的理念,实用性高. animation是一个复合样式,它可以细分为8个更细的样式. (1)ani ...
- 每天一个linux命令(49):ss命令
ss是Socket Statistics的缩写.顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容.但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信 ...
- (练习)rational rose进行用例图设计
用例图:
- java设计优化--装饰者模式
装饰者模式拥有一个设计非常巧妙的结构,它可以动态的添加功能.在基本的设计原则中,有一条重要的设计准则就是合成/聚合复用原则.根据该原则的思想,代码复用应该尽可能使用委托,而不是使用继承.因为继承是一种 ...
- 使用Web Deploy进行远程部署
Web Deploy支持直接从本地Visual Studio的工程文件部署网站到远程服务器,部署的过程中可以对比哪些文件变化了需要拷贝,而不是一股脑的全部拷贝,效率和准确性会更好. 部署的过程主要要注 ...