我认为我的服务器已被盗用,并且有许多perl进程正在运行。但是,我不知道它们是从哪个文件启动的,所以我可以删除它。我怎样才能找到这些信息?
答案 0 :(得分:1)
如果您的系统遭到黑客攻击,您就不能信任任何软件,甚至不信任内核。格式化磁盘并重新安装所有内容。没有办法确定你已经清除了感染,因为你不能相信你用来清理东西的工具。您无法将新工具复制到该框中,因为您无法信任SSH守护程序或/ bin / cp命令。任何东西 - ls,vi,ps,cat,dd等 - 都可能被用于隐藏受感染文件的木马取代。
答案 1 :(得分:0)
如果运行命令“ps -ef”,您应该获得计算机上运行的所有进程的列表。每个进程都有一个进程ID号(PID),还有一个父 PID。查找有问题的进程并检查其父PID。然后找到具有匹配PID的进程,它应该是你的罪魁祸首。
答案 2 :(得分:0)
您可以查看符号链接/proc/pid/cwd,同时查看ppid中的ps(1)。
答案 3 :(得分:0)
我要做的第一件事是查看父进程ID(PPID)。也就是说,如果PPID为1,那就不会告诉你任何事情。
答案 4 :(得分:0)
审核文件系统有助于查看here
pstree也可以提供帮助
答案 5 :(得分:0)
尝试ls -l /proc/<pid>/exe或ls -l /proc/<pid>/fd。我不记得perl是否在程序启动后保持脚本文件保持打开状态,但如果确实如此,它将成为进程文件描述符之一。
但是,如果您的系统被证明了,那么不要指望任何有意义的事情。