搜索 :centos病毒
crontab的學(xué)習(xí)
https://www.cnblogs.com/aminxu/p/5993769.html
挖礦程序的簡(jiǎn)單處理方法(可以找到程序位置的才可使用這種方法)
https://blog.csdn.net/qq_32731747/article/details/81558561
由于免密造成被植入挖礦程序
https://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html
linux根據(jù)進(jìn)程號(hào)PID查找啟動(dòng)程序的全路徑
https://blog.csdn.net/lsbhjshyn/article/details/18764613
查看sh腳本是否執(zhí)行,也可以觀察是否有惡意程序時(shí)刻啟動(dòng)sh腳本
在crontab中添加了定時(shí)任務(wù)产喉,但發(fā)現(xiàn)沒(méi)有得到期望的結(jié)果捂掰,因而懷疑是crontab沒(méi)有執(zhí)行相應(yīng)的任務(wù),但怎么定位crontab是否執(zhí)行呢曾沈?
這就需要查看crontab的執(zhí)行歷史記錄这嚣,具體位置如下:
cd /var/log
tail -100 cron
在cron文件中即可查閱已經(jīng)操作過(guò)的相關(guān)定時(shí)任務(wù)。
查看守護(hù)進(jìn)程()一般病毒程序會(huì)
crontab -l
centos 根據(jù)PID找到文件的位置
top 得到pid
cd /proc/pid
ll
在列出的內(nèi)容中exe指向的就是程序的絕對(duì)路徑
查看定時(shí)任務(wù)
ls -l /etc/cron.*
- 獲取進(jìn)程的pid后塞俱,然后使用命令ls -l /proc/${pid}姐帚,這個(gè)命令可以列出該進(jìn)程的啟動(dòng)位置。
ll /proc/22551
Linux在啟動(dòng)一個(gè)進(jìn)程時(shí)障涯,系統(tǒng)會(huì)在/proc下創(chuàng)建一個(gè)以PID命名的文件夾:
執(zhí)行命令ll /proc/PID
- cwd符號(hào)鏈接的是進(jìn)程運(yùn)行目錄;
- exe符號(hào)連接就是執(zhí)行程序的絕對(duì)路徑;
- cmdline就是程序運(yùn)行時(shí)輸入的命令行命令;
- environ記錄了進(jìn)程運(yùn)行時(shí)的環(huán)境變量;
- fd目錄下是進(jìn)程打開(kāi)或使用的文件的符號(hào)連接罐旗,在該文件夾下會(huì)有我們的進(jìn)程的信息膳汪;
- 其中包括一個(gè)名為exe的文件即記錄了絕對(duì)路徑,通過(guò)ll或ls l命令即可查看九秀。
找到某進(jìn)程啟動(dòng)路徑的方法是:
1.我們可以從ps命令中得到僵死進(jìn)程的PID,如上例中23347
2.進(jìn)入/proc目錄下以該P(yáng)ID命名的目錄中
3.輸入ls -ail,結(jié)果中 exe鏈接對(duì)應(yīng)的就是可執(zhí)行文件的全路經(jīng)詳細(xì)信息
[root@edu-web1 /] ls /proc/? 找到23347文件夾
[root@edu-web1 /] cd /proc/23347
[root@edu-web1 23347] ls –ail
使用chkconfig --list查看遗嗽,居然沒(méi)有異常的東西!
查看crontab日志
查看crontab列表
crontab -l
查看crontab日志
ls /var/log/cron*
cat /var/log/cron-20151011 |more
解決挖礦程序
查看定時(shí)任務(wù)
crontab -l
殺死定時(shí)任務(wù)
crontab -r
創(chuàng)建定時(shí)任務(wù)
crontab -e
