V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
wuxqing
V2EX  ›  Linux

服务器被入侵, ps 无法找到一个进程信息,会是什么情况?

  •  
  •   wuxqing · 2016-12-07 15:06:55 +08:00 · 6924 次点击
    这是一个创建于 2909 天前的主题,其中的信息可能已经有所发展或是发生改变。
    服务器被入侵,用作挖矿了。有个情况很奇怪

    CPU 全部 100%了,但是
    ps auxw --sort=%cpu 查不到

    用 top 也是看不到,大约间隔 15 左右会有一个 CPU 占比很高的进程出现(/usr/bin/xl2tpd ),这个就是挖矿的程序

    这个进程用名称和 PID 都无法查到
    ps -ef | grep 'xl2tpd'
    ps -p PID

    但是
    lsof 可以搜到
    lsof | grep 'xl2tpd'
    lsof -p PID

    ls /proc/PID 也是有信息的

    通过 lsof 搜到另一个进程
    xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
    执行程序:/usr/bin/systemd-network

    同样用 ps 也是查不到的
    22 条回复    2016-12-09 10:59:13 +08:00
    Yinz
        1
    Yinz  
       2016-12-07 15:17:54 +08:00   ❤️ 2
    检查一下 ps 有没有被动手脚替换了或者修改了?
    wuxqing
        2
    wuxqing  
    OP
       2016-12-07 15:21:52 +08:00
    @Yinz 没错, ps 被改了,谢了!
    knightdf
        3
    knightdf  
       2016-12-07 15:40:18 +08:00
    @wuxqing 学习了!
    9hills
        4
    9hills  
       2016-12-07 15:42:54 +08:00
    这个程序,挖矿的时候也不说限制下 cpu 。。活该被发现啊
    lgpqdwjh
        5
    lgpqdwjh  
       2016-12-07 18:52:48 +08:00
    一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -
    skylancer
        6
    skylancer  
       2016-12-07 20:09:49 +08:00
    绝大多数这种情况都会被改 ps 和 top 的
    ixinshang
        7
    ixinshang  
       2016-12-07 20:45:16 +08:00 via Android
    其实我想问 怎么挖
    est
        8
    est  
       2016-12-07 21:07:18 +08:00
    http://www.freebuf.com/articles/system/117234.html

    syscall(__NR_hide) // 294 信号 。
    momi
        9
    momi  
       2016-12-07 21:23:32 +08:00
    https://github.com/xelerance/xl2tpd
    URL : https://www.xelerance.com/software/xl2tpd/
    Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)

    只要装了 NetworkManager ,这个包就会被安装,通过 systemd-network 启动的。。。。

    如果木马真的修改了 ps 、 top 之类的程序,那它肯定也会自我隐藏,你根本看不到的,牛 B 的木马,就算你从干净系统里搞一个静态链接的 ps 过去,也查不到,只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性,找出它。。。
    eoo
        10
    eoo  
       2016-12-07 22:25:32 +08:00 via Android
    学习学习
    leakless
        11
    leakless  
       2016-12-07 22:41:36 +08:00
    这种情况下先检查系统命令是否被做了手脚
    要是系统命令都被做了手脚。。备份一下重装吧
    mingyun
        12
    mingyun  
       2016-12-07 23:05:57 +08:00
    @Yinz 厉害了
    jon
        13
    jon  
       2016-12-08 00:31:45 +08:00
    怎么被黑的?
    Yechs
        14
    Yechs  
       2016-12-08 09:00:02 +08:00
    @lgpqdwjh 这个问题怎么解决呢 找不到源头 现在只能使用 crontab 1 分钟杀一次进程来解决
    abc123ccc
        15
    abc123ccc  
       2016-12-08 09:14:29 +08:00
    我也觉得只能重新安装系统了。
    Balthild
        16
    Balthild  
       2016-12-08 09:23:36 +08:00 via Android
    @momi xl2tpd 是一個 VPN 服務端,正常情況下不會佔用那麼高的 CPU ,用 ps 也能看到進程。因此應當是偽裝的。
    qunl
        17
    qunl  
       2016-12-08 09:34:44 +08:00
    学习学习
    Yechs
        18
    Yechs  
       2016-12-08 10:24:35 +08:00
    [root@aliyun~]# xl2tpd -V
    cpuminer 2.3.3
    built on Jul 1 2016
    features: x86_64 SSE2 AVX AVX2 XOP
    libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8
    wbangin
        19
    wbangin  
       2016-12-08 11:09:05 +08:00
    xl2tpd 是 l2tp vpn 的程序名,你这个是挖矿程序,被别人中了马用来挖矿?
    stormpeach
        20
    stormpeach  
       2016-12-08 13:34:11 +08:00
    一般这种情况木马是替换 ps 源程序还是就加个别名之类的?
    wuxqing
        21
    wuxqing  
    OP
       2016-12-08 14:11:23 +08:00
    是伪装成 xl2tpd 的挖矿程序
    ps 文件被替换了,不是别名
    初步判断是通过 redis 入侵的
    Mdrights
        22
    Mdrights  
       2016-12-09 10:59:13 +08:00 via iPhone
    問下,如果卸載了 Dbus 的話,是不是所有 daemon 都運行不了了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2447 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:25 · PVG 08:25 · LAX 16:25 · JFK 19:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.