恶意进程[.ECC6DFE919A382]这样的进程代表什么含义?

Feng_Yu 发布于 2014/07/17 19:03
阅读 996
收藏 0

阿里云发邮件说服务器有恶意扫描的操作,折腾了一天定位到了这个问题。折腾过程: http://my.oschina.net/abcfy2/blog/292159

最终发现恶意进程是这个:

root@dunham:/var/lib/tomcat7# ps aux | grep 22607
root     16443  0.0  0.0   9816   924 pts/3    S+   18:43   0:00 grep --color=auto 22607
tomcat7  22607  0.1  0.0 349372   888 ?        Ssl  Jul16   3:30 [.ECC6DFE919A382]

以tomcat7用户身份运行一个 [.ECC6DFE919A382]进程,杀掉这个进程之后问题解决。

想问一下这样的进程是怎么产生的?代表什么含义?这个进程在netstat下是看不到进程名的,可疑的不能再可疑了

root@dunham:/var/lib/tomcat7# netstat -anup
激活Internet连接 (服务器和已建立连接的)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
udp        0 229632 0.0.0.0:57606           0.0.0.0:*                           22607/          
(其他无关条目以删除)
加载中
0
Feng_Yu
Feng_Yu

后记: 又发现了好玩的东西,这个tomcat7用户居然还启动了其他可疑的[]进程

ps aux | grep tomcat
tomcat7 20092 0.0 0.0349264  612?        Ssl 05:48  0:20[freeBSD]

0
JerryLin
JerryLin
shell history 有什么异常?
Feng_Yu
Feng_Yu
没有,挂马者没有拿到root权限,一直再用tomcat7这个无法远程登录的用户在做文章
0
_
_Yud

lsof -p pid -n

查看打开哪些文件.

strace -p pid -s 256

跟踪进程当前在做什么

Feng_Yu
Feng_Yu
mark,暂时kill掉了相关进程,下次如果再次出现就用这个跟踪!
返回顶部
顶部