目前,我发现我的VPS中有一些奇怪的过程。请参阅屏幕转储ps,奇怪的流程为bmzcvkboqq和yrvccvxkeh。他们每次都会以不同的名字一次又一次地重启。我试图同时杀死它们,但几分钟后它们仍然出现。我怀疑我的VPS可能被某人黑了。我想知道这些过程是如何产生的以及哪个程序触发它们。是否有任何命令或日志可以显示此类信息?
答案 0 :(得分:0)
您可以使用$ pstree显示正在运行的进程树。如果有太多的grep,请直接转到$ pstree | grep <proc_name> -B 10:{前10行,只需增加数字即可看到上面的更多行。)
答案 1 :(得分:0)
使用像上面所说的Jan Samek这样的pstree来跟踪PPID。很可能你的一个网络应用程序被黑客攻击,并且通过网络应用程序中的漏洞将shell丢弃。检查cron以查看是否添加了新作业,您可以通过查看您的Web应用程序日志[apache / tomcat查找正在运行的任何内容]来查找易受攻击的应用程序。
