什么在我的机器上执行这些命令,这是正常行为吗?
我花了一些时间查看 htop,发现 root 用户在短时间内执行了一行奇怪的进程/命令,我想知道这是否是正常行为(或某种恶意软件)。这是出现在 htop 中的非详尽命令列表。此 Debian 服务器上仅运行 Tomcat 和 MySQL。
ifconfig eth 0
ps -ef
bash
uptime
top
netstat -antop
pwd
echo "find"
gnome-terminal
whoami
sleep 1
id
su
cd /etc
现在这看起来很邪恶,不是吗?
杀死这样的进程会立即产生一个新的进程,总是涉及一个随机字符串。
这确实看起来像是没有很好地隐藏自己的恶意软件。编写良好的恶意软件会感染内核并安排将自己完全隐藏在任务列表之外。这个人笨拙地把自己伪装成无害的uptime,但做得很糟糕,uptime无论如何都是可疑的,因为它不会运行这么长时间。
如果您确认这是恶意软件,请阅读 如何处理受感染的服务器?
你将不得不重新安装系统。即使恶意软件看起来很笨拙,您也不能确定您是否能够根除它:其中可能有更好的隐藏部分。
在重新安装之前,请尝试弄清楚恶意软件是如何到达那里的。您是否从错误的来源安装了程序?您是否安装了具有已知安全漏洞的程序?检查日志、文件日期、命令历史等。
重新安装时,请确保从干净的来源获取所有软件。根据提供商的 HTTPS 网站上的校验和验证安装介质的校验和。尽可能坚持使用发行版中的软件,并确保执行校验和验证(在 Debian 下是默认设置)。特权二进制文件从分发到不太可信来源的二进制文件。在激活任何面向 Internet 的服务之前,请确保应用所有安全更新。如果您需要安装非发行版软件,请确保从可靠来源检索它,获取没有已知安全漏洞的最新版本,并尽可能少地授予它权限。使用强密码(如有必要,如果您在安全区域工作,请将它们写在显示器旁边的便签上)。
您还可以使用pstree或ps auxf来找出哪个进程正在运行。(也许该输出更具可读性。)
当您怀疑存在恶意软件时,您还应该检查尝试在网络上通信的进程。
您还可以用来netstat -tupln检查是否有任何意外进程正在侦听远程连接。同样netstat -tupn会向您显示当前的通信。
还要查看启动脚本,/etc/init.d/甚至/etc/rc.*/查看是否有任何异常条目。与评论中已经建议的 crontab 相同。
| 归档时间: |
|
| 查看次数: |
621 次 |
| 最近记录: |