我在我的centos 8机器上发现了一些奇怪的过程检查上面的照片:
当我键入时,cat /etc/passwd我在任何地方都看不到用户 990,这个kinsing过程也很奇怪,因为这与最初使用 redis 感染我的机器的过程相同。
我怎样才能找到这个并弄清楚发生了什么?我已经从我的系统中删除了它卸载redis也删除了用于运行矿工进程的redis用户名,但是我感兴趣的图像中运行的进程很明显他们仍然在我的系统中有一些东西我怎么能找到在哪里运行此过程的文件?以及运行此进程的这个 990 用户名是谁。
我刚刚发现的有关该过程的其他信息:
ls -la /proc/41325/exe
lrwxrwxrwx 1 990 987 0 Feb 28 21:53 /proc/41325/exe -> '/var/tmp/kinsing (deleted)'
在我看来,当您进行清理并且您没有杀死它时,这个进程已经在运行(即在内存中),所以它仍然存在。
990 用户名意味着用户不再存在。您删除的与 redus 关联的用户的用户 ID 似乎为 990。
当然,您可以通过“kill 41325”终止正在运行的实例
虽然不可能保证服务器完全没有被黑客入侵,但没有证据表明用户设法将自己升级为 root,所以你很可能没问题。您可能需要运行类似“find / -user 990”之类的命令来检查该帐户是否有任何痕迹。