服务器被大量 netstat 搞死，求问应该怎么个排查步骤 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DataPacket

› DigitalOcean

这是一个创建于 1328 天前的主题，其中的信息可能已经有所发展或是发生改变。

9 条回复 • 2021-03-22 09:11:18 +08:00

1

lsylsy2

2021-03-19 12:41:57 +08:00

1

怎么觉得看起来像是伪装成 netstat 等正常程序的挖矿木马

2

cpstar

2021-03-19 14:36:37 +08:00

1

还有一堆 awk 和 xargs，应该是用管道做什么分析

3

Shirakawa

2021-03-19 15:10:57 +08:00

1

挖矿木马伪装的
crontab -l 看看说不准能发现啥玩意

4

Lax

2021-03-19 15:45:26 +08:00

1

先把执行到程序找到，看看是不是系统自带的 ls -al /proc/<pid>/

5

ik

2021-03-19 17:42:30 +08:00 via iPhone

1

常用命令被替换了吧……

6

GGGG430

2021-03-19 17:58:31 +08:00

1

strace -p 6887 看看这些进程在干啥

7

ch2

2021-03-20 01:31:23 +08:00 via iPhone

1

这个是挖矿病毒

8

narutots

OP

2021-03-22 09:11:10 +08:00

@GGGG430 好的

9

narutots

OP

2021-03-22 09:11:18 +08:00

@Lax 好的

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 2853 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 22ms · UTC 00:28 · PVG 08:28 · LAX 16:28 · JFK 19:28
Developed with CodeLauncher
♥ Do have faith in what you're doing.