当我查看 top 的输出时,我看到一个进程被列为
pine -i
我的系统中没有 pine!然后我进入 proc 并执行了
`ls -l /proc/9827/exe`
9827 是进程 ID。它指向一个目录,例如
/home/ff/notes/pinb/test
我查看了目录,什么也没找到。我的目录中没有类似 test 的东西。
然后我使用取消隐藏(所有选项) - 它根本没有检测到任何东西。然后我使用 chkrootkit ,它也没有发现任何异常。
我尝试终止该进程,但每次重启后它都会再次出现。我该怎么办?
答案1
我觉得是时候清除并重新安装了。这显然意味着你已经获得了 root 权限。chkrootkit 并非万无一失。
答案2
您可以使用 watch 来查看日志,然后使用 && killall nameofprocess。阅读 watch 上的 man。那个 pine 进程将在 中/etc/init.d/。在某处这样做。
Cd /etc/init.d/
ls -R * | grep pine
它会告诉你它在哪里,然后你可以从启动项中删除它。这比手表不断运行要好。