我在我的 centos 8 机器上发现了一些奇怪的进程,检查上面的照片:
当我输入时,cat /etc/passwd我没有在任何地方看到用户 990,而且这个kinsing过程很奇怪,因为这是首先使用 redis 感染我的机器的相同过程。
我如何找到它并弄清楚发生了什么?我已经从系统中删除了它,卸载了 redis,还删除了用于运行矿工进程的 redis 用户名,但我感兴趣的图像中正在运行的进程很清楚,它们仍然在我的系统中有一些东西,我如何找出运行此进程的文件在哪里?运行此进程的 990 用户名是谁。
我刚刚发现的有关该过程的附加信息:
ls -la /proc/41325/exe
lrwxrwxrwx 1 990 987 0 Feb 28 21:53 /proc/41325/exe -> '/var/tmp/kinsing (deleted)'
答案1
在我看来,当你进行清理时,该进程已经在运行(即在内存中),而你没有终止它,所以它仍然存在。
用户名 990 表示该用户不再存在。看来您删除的与 redus 关联的用户的用户 ID 为 990。
当然,您可以通过“kill 41325”终止正在运行的实例
虽然无法保证服务器完全没有被黑客入侵,但没有证据表明用户设法将自己升级到 root 权限,因此您可能没事。您可能需要运行“ find / -user 990”之类的命令来检查是否还留有此帐户的任何痕迹。