我有一个名为“stealth”的进程,它感染了我的服务器(占用了我的 CPU),我不知道它在哪里才能彻底删除它。每次我终止该进程时,它都会以某种方式再次启动...
ps -ef | grep stealth给了我这个:
但我不知道 ./stealth 在哪里,因为它是一条相对路径?
此外,当我尝试使用locate或 时find,我什么也没得到。
有什么想法我可以找到并删除这个过程吗?
答案1
如果我没记错的话,ls -l /proc/11377/exe我会告诉你文件的位置。不过删除它可能是另一回事。
答案2
您的计算机已受感染。如果可能,请用干净的服务器替换服务器或重新安装。您不应该再信任它了。
答案3
- 运行之前
locate,请运行updatedb以确保“定位”数据库是最新的 - 进程重生意味着它处于另一个进程(init、daemontools、cron 等)的监督之下。查看进程父 ID 以找出哪个进程正在启动它。需要检查此程序以确定它与隐形程序的关系
- 检查 proc 条目中的进程 id,看看
/proc/[pid]/cwd这会给你“当前工作目录”,它会告诉你在./stealth哪里 kill -SIGSTOP [pid]将停止(暂停)该进程但不终止它,让您检查它而不必担心它进一步执行任何操作。