2016年应急记录
问题描述:联想网盘程序无法启动,有可疑进程占用大量cpu资源,查不到相应程序
检测过程
1.首先查看占用率最高的进程(使用的命令是top)
占用最高的进程为pid号码为11644
2.查看该pid对应的文件(使用的命令是ps –ef | grep 11644)
3.检查pid 为11644的进程目录使用命令是(ps –aux| grep 11644)
cd /opt/srv/resin 发现无法进入目录。以为被删除,经过询问,系统已经多次重启,都有类似问题并且两台电脑问题相似,且都没有这个目录。应该不是被删除,推测是系统命令被修改。为方便下一个公司检测,不对系统进行软件扫描检测
4.查看进程所在的内存目录(cd /proc/11644/;ls -al)
可以看到cwd 指向/opt/srv/resin
5.切换进入cwd(使用的命令cd cwd)
注:resin是一个javaweb服务器,但是不能排除人为起名。为方便测试把此目录下的程序拷贝出来
6.利用sftp工具把此目录下的文件拷贝出来
7.反编译webapps里面的文件(使用jd-gui)
发现一些配置文件里面存在一些信息
这个是发送邮件的配置文件
结论:在检测期间占用cpu过高的程序应为lenovo程序,用途不详。但不排除其他可能
后期检测建议:
因为cd ls 等无法发现/opt/srv/resin 目录,推测可能是linux的 ls,cd等命令被修改,建议进行rootkit查杀,如果系统存在备份,找一个可信的系统备份对于系统文件进行md5比对,并且找一个版本相同的可信系统把常用命令拷贝进去,利用常用的命令查看目录
运维建议:linux程序不要运行在root账号下。使用key认证登录。对操作进行记录