查找執行python腳本的程序源
從上個月開始,一些程序正在我的伺服器上使用帶有 LAMP 堆棧的 centos 6 執行 python 腳本,這不過是垃圾郵件機器人和消耗伺服器資源。請檢查下面的圖片,
如何找到執行這些 python 腳本的確切內容?
–UPDATE– 由於這些命令以 root 身份執行,我使用 rootkit hunter(rkhunter) 掃描了系統,發現我的 ssh 已被入侵(可能的 rootkit:Trojaned SSH 守護程序)。所以我做了以下,
#removed ssh chattr -aui /usr/sbin/sshd rm -f /usr/sbin/sshd chattr -aui /usr/bin/ssh rm -f /usr.bin/ssh然後,
yum erase openssh-server yum erase openssh-clients yum install openssh-server yum install openssh-clients現在我再次執行 rkhunter,一切都很好。
謝謝
如果您需要幫助查找源過程,請在您的問題中發布和/或
htop的文本輸出,而不是圖片。文本輸出優於圖片。pstree -p``ps axfuw這些程序以
root使用者身份執行,它們似乎正在perl通過pythonscript下載和執行腳本x.py。還有一個bash腳本go以root.以下不是您問題的具體答案,但希望能提供一些有關具有此類特權的黑客的有用資訊。
您可以嘗試查找所有這些腳本並查看刪除它們是否有幫助,確保也殺死所有不良程序,但由於該系統是“root”的,您可能會花費大量時間調查整個伺服器並且可能永遠不會清除排除所有可能的黑客/後門。根級別黑客的一個大問題是他們可以更改他們想要的任何內容、更改配置、替換任何軟體二進製文件或編輯/清除日誌文件。如果他們弄亂了從包安裝的任何文件,您應該能夠檢查您的包管理器。
更重要的是首先確定黑客是如何開始的,或者您可能會發現您的下一個伺服器以同樣的方式受到損害。這可能從“明顯”到“極難確定”,具體取決於您對系統的了解程度。由於我們可以看到程序以
root使用者身份執行,因此一些可能性是:root使用者被入侵(他們知道密碼),sudo使用者被入侵,暴露的服務允許遠端執行,或者存在權限提升漏洞的可能性(如果您使系統保持最新,則這種可能性會降低)。您可以嘗試的一件事是找到所有惡意腳本 (
find / -name x.py) 並確定這些文件的最早創建時間。然後檢查創建時間是否與從您不認識的位置登錄您的系統相匹配,這表明他們知道密碼並且能夠登錄到您的系統。否則,這是一個練習,以確定您在具有這種訪問權限的系統上執行哪些服務,以及它們是否存在任何允許以root.完成調查後,我建議您保存所有對您重要的數據,然後使用新的作業系統重新安裝伺服器,並且不要重複使用以前系統上使用的任何密碼。在新系統上使用備份(希望那些在其他地方並且沒有被黑客入侵)比重新載入以前的數據更可取。