博客

1)使用top命令发现一个python程序占用了95%的cpu 2)使用ps -ef|grep python发现下面程序: python -c import pty;pty.spamn("/bin/sh") 这个程序命令表示通过webshell反弹shell回来之后获取真正的ttyshell进行渗透到服务器里。kill掉这个进程! 3)发现在/var/spool/cron下面设置了一个nobody的定时执行上面获取getshell的渗透命令!果断删除这个任务! 4)ss -a发现一个可疑ip以及它的进程,果断在iptables里禁止这个ip的所有请求: -I INPUT -s 180.125.131.192 -j DROP

比如: 在一台服务器上,已经启动了80端口的nginx进程,但是执行“lsof -i:80”或者"ps -ef"命令后,没有任何信息输出!这是为什么? 怀疑机器上的ps命令被人黑了!执行: 

 [root@locahost ~]# which ps
/bin/ps
[root@locahost ~]# ls -l /bin/ps
-rwxr-xr-x. 1 root root 85304 5月  11 2016 /bin/ps
[root@locahost ~]# stat /bin/ps
  File: "/bin/ps"
  Size: 85304       Blocks: 168        IO Block: 4096   普通文件
Device: fc02h/64514d    Inode: 13549       Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2017-05-07 17:14:37.862999884 +0800
Modify: 2016-05-11 07:23:09.000000000 +0800
Change: 2017-05-07 17:14:37.146999967 +0800

发现ps命令的二进制文件果然在近期被改动过。
解决办法:可以拷贝别的机器上的/bin/ps二进制文件覆盖本机的这个文件。
admin

admin

管理员

热门文章

标签云

python wordpress mysql nginx JS方法 PHP drupal thinkphp mac awk Linux drupal维护

友情链接