Linux的一个问题ircbot进程

文章由LinuxBoy分享于2019-04-02 09:04:26热评（474）

Linux的一个问题ircbot进程

首先该问题目前还不清楚希望知道的人可以回复我mail fengtaotao2012x@163.com

今天执行一次常规服务器安全抽查的时候发现一台web服务器的一个奇怪的进程而且更厉害的是cpu使用率高达百分之99

故事这样的运行命令top

内容如下

  Unknown HZ value! () Assume  
  :25am  up  days, :,   users,  load average: , , 
  processes:  sleeping,  running,  zombie,  CPU states:  % user,  % system,  % nice, %   
   PID USER     PRI  NI  SIZE  RSS SHARE STAT  LIB %CPU %   root                 T              daemon          10M   S              :  daemon          10M   S              :  daemon          10M   S              :  daemon          10M   S              :  daemon          10M   S              :   root           127M  19M   S             :  daemon          10M   S              :  daemon          10M   S              :  daemon          10M   S              :  daemon          10M   S              :      root                 S              :      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
      root      0K                  SW             : watchdog/
      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
      root      0K                  SW             : watchdog/
      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
     root      0K                  SW             : watchdog/
     root      0K                  SW             : migration/

当我看到第一行的时候第一感觉就是病毒- -！

  Unknown HZ value! () Assume  
  :25am  up  days, :,   users,  load average: , , 
  processes:  sleeping,  running,  zombie,  CPU states:  % user,  % system,  % nice, %   
   PID USER     PRI  NI  SIZE  RSS SHARE STAT  LIB %CPU %   root                 T            22094m ircbot

这样的数据太吓人了好吧根据id找下程序的位置

运行:

 [root@mail log]# ls -l /proc//
 total 
 dr-xr-xr-x    root     root             Jun  : -r--------    root     root             Jun  : -r--r--r--    root     root             Jun  : -r--r--r--    root     root             Jun  : lrwxrwxrwx    root     root             Jun  : cwd -> /
 -r--------    root     root             Jun  : lrwxrwxrwx    root     root             Jun  : exe -> /usr/share/icbm/ dr-x------    root     root             Jun  : -rw-r--r--    root     root             Jun  : -r--------    root     root             Jun  : -rw-------    root     root             Jun  : -r--r--r--    root     root             Jun  : -r--------    root     root             Jun  : -rw-r--r--    root     root             Jun  : -r--r--r--    root     root             Jun  : lrwxrwxrwx    root     root             Jun  : root -> /
 -r--r--r--    root     root             Jun  : -r--------    root     root             Jun  : -r--r--r--    root     root             Jun  : -r--r--r--    root     root             Jun  : -r--r--r--    root     root             Jun  : dr-xr-xr-x    root     root             Jun  : -r--r--r--    root     root             Jun  : wchan

ls -l /proc/2499/ext

 [root@mail log]# ls -l /proc// audit/          conman.old/     httpd/          messages.      secure.        spooler.
 boot.log        cron            lastlog         messages.      secure.        squid/
 boot.log.      cron.          mail/           messages.      secure.        vbox/
 boot.log.      cron.          maillog         messages.      secure. boot.log.      cron.          maillog.       mysqld.log      setroubleshoot/ wtmp.
 boot.log.      cron.          maillog.       ppp/ boot.log.bak    cups/           maillog.       prelink/        spooler. clamav/         dmesg           maillog.       samba/          spooler.       
 conman/         gdm/            messages        secure          spooler.

 [root@mail log]# ls -l /proc// lrwxrwxrwx    root     root             Jun  : /proc//exe -> /usr/share/icbm/ircbot

这里说明下exe为一个快捷方式Linux为软连接方法为：ln -s xxx xxx 上述的意思为 2499的进程目录会跳转到 /usr/share/icbm/ircbot

想打开这个文件看下内容不过发现打开的是乱码，cp下来在windows下很多编程工具软件也是打开乱码，可能是动了手脚

这个是我cp下来的目录http://pan.baidu.com/share/link?shareid=2265703552&uk=4045574093 有兴趣的可以看下

 [root@mail ~]# ll -d /usr/share/icbm/
 drwxr-xr-x    root     root          Apr   : /usr/share/icbm/
 [root@mail ~]# ll /usr/share/icbm

发现的问题是这里面只有

 7 -rwxr-xr-x   1 root     root        27788 Apr  8 01:09 /usr/share/icbm/ircbot
 8 -rwxrwxrwx   1 root     root       204562 Apr  7 09:40 /usr/share/icbm/proxies.txt
这两个是在今年的4月份先后出现的。
目前也只能先将其rm -f掉了，当然我有beckup 
等待网友们的热心支援！ 问了几个老运维说 入侵以后最好是把资料CP出来然后重做系统，但我不想那样，希望找到一个优的方法。
删除掉以后 reboot了下 开机半小时 使用top 命令查看服务器的进程稳定下来了，而且 free -m查看 swap的使用为0了

   :48pm  up  min,   user,  load average: , , 
  processes:  sleeping,  running,  zombie,  CPU states:  % user,  % system,  % nice, %   
   PID USER     PRI  NI  SIZE  RSS SHARE STAT  LIB %CPU %   daemon          10M   S              :   daemon          10M   S              :   daemon          10M   S              :   daemon          10M   R              :   daemon          10M   S              :   root           124M  16M   S              :   daemon          10M   S              :   daemon          10M   S              :   daemon          10M   S              :   daemon          10M   S              :   daemon          10M   S              :   root               R              :      root                 S              :      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
      root      0K                  SW             : watchdog/
      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
      root      0K                  SW             : watchdog/
      root      0K                  SW             : migration/
      root                       SWN            : ksoftirqd/
     root      0K                  SW             : watchdog/
     root      0K                  SW             : migration/
     root                       SWN            : ksoftirqd/
     root      0K                  SW             : watchdog/
 [root@mail ~]# free -  Mem:                                                    
 -/+ buffers/cache:               
 Swap:

在使用 top -p 2499 没有了。

不过还是很担心因为怕病毒修改了系统的bin文件哎还是精简测下这几天的服务器吧！

到目前为止的检测还算正常

推荐文章：

Linux的一个问题ircbot进程