CPU深夜狂飙,一帮大佬都傻眼了???

时间:2022-11-25       来源: IT之家

这个故事是根据上次挖矿病毒事件改编的。

晚上,警报响起,整个Linux帝国一片恐慌。

安全部长赶紧把大家召集起来,商量对策。

各位,突发状况,CPU利用率突然飙升,并且长时间没有下降趋势CPU厂的q向我们表示强烈抗议

这时,一旁的杀令说道:部长放心吧告诉顶哥,看谁在占CPU,拿到进程号pid,我就杀了他

此言一出,在座的各位都赞许地点了点头,惊骇之色稍有缓解。

最高统帅部站起来,一副洋洋得意的样子,说:请你看看。之后,它打印出当前进程列表:

他们瞪大了眼睛,瞅了半天,也没看到哪个进程在疯狂CPU,顶兄弟尴尬。

这时一旁的ps命令上来了,我来试试。

ps命令深吸一口气,也打印出了进程列表。

可是,仍然没有可疑的过程。

你们两个怎么了为什么没有,安全部长很不高兴

部长,我们都遍历了/proc/目录中的内容按理说所有的进程都会在这里,我也想不通为什么找不到,托普说

遍历,如何。

它由诸如opendir/readdir之类的系统调用函数遍历这些都是帝国提供的标准接口,你应该不会出错,除非说到这里,top停了下来

除非什么。

除非这些系统调用过滤掉那个进程,否则我看不到它是不是有人潜入帝国内核篡改了系统调用

保安部长瞪大了眼睛,真的是这样,那可是大事!

看到大臣急了,netstat站起来说:大臣,我以前认识一个叫unhide的好朋友,抓隐藏进程是他的专长你想让他试试吗

部长喜出望外你还在犹豫什么

我已经联系过了,马上就到

大臣看了看netstat说:刚刚好,趁着这功夫,先看看有没有什么可疑的外部联系。

Netstat点点头,然后打印出所有的网络连接信息:

来吧,一个一个来认领,看看谁是它的主人,牧师说。

这个80口的服务是我的,nginx出面了。

这个6379端口服务是我的,雷迪斯也出面了。

嗯,9200是我的,elasticsearch说。

3306那是我的

8182是我的

过了一会儿,只有一个连接仍然无人认领:

TCP 00192 . 168 . 0 . 4:5185488 . 99 . 193 . 240:7777已建立—

部长,这可能是躲在暗处的那个家伙的联系,netstat说。

安全部长想了一会儿,问道:科尔在哪里快来访问这个IP地址,探探对方的虚实

卷毛站了出来,来了,来了

一行醒目的采民调出现在大家面前。

挖,地雷病毒!,顶哥叫了出来。

于是,所有在场的人都倒吸一口冷气。

部长很快要求防火墙配置一个规则来切断这个连接。

正在这时,unhide进来了。

简单了解情况后,unhide拍着胸口说:这件事我来处理,我会把这家伙找出来的。

随后,unhide像老虎一样操作,并输出几行信息:

FoundHIDDENPID13053Executable可执行文件:"/usr/bin/picks"$USER=root foundhiddenpid 13064可执行文件: "/usr/bin/picks " $ USER = root

大家凑了过来,瞪大了眼睛,unhide哥哥果然没有遮掩,果然发现了几个可疑分子。

托普有点怀疑,问:你敢问我你用的什么路线为什么我们看不到这些过程

Unhide笑道,这没什么神秘的实际上,我还遍历了/proc/目录和你不一样,我不使用readdir,而是从最小的进程id到最大的进程id逐一访问/proc/$pid目录一旦我发现目录存在,而且不在ps哥哥的输出结果里,那就是一个隐藏的过程

一旁的ps笑了:还有我的功劳。

找到了,就是那个家伙!,netstat大声说。

你怎么能这么肯定牧师问道

请看,进程打开的所有文件都将在/proc/pid/fd目录下套接字也是一个文件我刚刚看了一下,这个过程只是有一个插座

小子!好家伙,大家都在嘀嘀咕咕。

你还在等什么让我赶紧杀了它!杀哥再也受不了了

我来删,rm小弟磨刀霍霍。

部长摇摇头说:等一下,cp呢先把这家伙备份到隔离目录,秋后算账

Cp复制完成,kill和rm一起走,后面的家伙被当场处决。

Top迅速查看了最新的资源使用情况,惊喜地欢呼:好了好了,CPU利用率终于下降了,真是可喜可贺。

天色已晚,没多久,人们陆续离开,帝国恢复了往日的平静。

可是,安全部长的脸上仍然是悲伤的。

部长,病毒已经清除了你怎么还闷闷不乐助理问

虽然病毒已经清除了,但我不知道这家伙是怎么闯进来的,背后暗中保护和隐藏的人是谁,这真的让我现在很担心。

不知不觉,夜已经很深了,锦衣卫的警报突然又响了起来。

这是怎么回事,部长厉声问道

部长,那个rm小子是个冒牌货今天,他骗了我们

部长望向远方的天空,CPU厂前的风扇又开始疯狂转动了。