服务器被入侵， ps 无法找到一个进程信息，会是什么情况？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

Ubuntu

Fedora

CentOS

中文资源站

网易开源镜像站

这是一个创建于 3236 天前的主题，其中的信息可能已经有所发展或是发生改变。

服务器被入侵，用作挖矿了。有个情况很奇怪

CPU 全部 100%了，但是
ps auxw --sort=%cpu 查不到

用 top 也是看不到，大约间隔 15 左右会有一个 CPU 占比很高的进程出现（/usr/bin/xl2tpd ），这个就是挖矿的程序

这个进程用名称和 PID 都无法查到
ps -ef | grep 'xl2tpd'
ps -p PID

但是
lsof 可以搜到
lsof | grep 'xl2tpd'
lsof -p PID

ls /proc/PID 也是有信息的

通过 lsof 搜到另一个进程
xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
执行程序：/usr/bin/systemd-network

同样用 ps 也是查不到的

22 条回复 2016-12-09 10:59:13 +08:00

Yinz

2016-12-07 15:17:54 +08:00

检查一下 ps 有没有被动手脚替换了或者修改了？

wuxqing

2016-12-07 15:21:52 +08:00

@Yinz 没错， ps 被改了，谢了！

knightdf

2016-12-07 15:40:18 +08:00

@wuxqing 学习了!

9hills

2016-12-07 15:42:54 +08:00

这个程序，挖矿的时候也不说限制下 cpu 。。活该被发现啊

RealLiuSha

2016-12-07 18:52:48 +08:00

一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -

skylancer

2016-12-07 20:09:49 +08:00

绝大多数这种情况都会被改 ps 和 top 的

ixinshang

2016-12-07 20:45:16 +08:00 via Android

其实我想问怎么挖

est

2016-12-07 21:07:18 +08:00

http://www.freebuf.com/articles/system/117234.html

syscall(__NR_hide) // 294 信号。

momi

2016-12-07 21:23:32 +08:00

https://github.com/xelerance/xl2tpd
URL : https://www.xelerance.com/software/xl2tpd/
Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)

只要装了 NetworkManager ，这个包就会被安装，通过 systemd-network 启动的。。。。

如果木马真的修改了 ps 、 top 之类的程序，那它肯定也会自我隐藏，你根本看不到的，牛 B 的木马，就算你从干净系统里搞一个静态链接的 ps 过去，也查不到，只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性，找出它。。。