Регистрация Войти
Рейтинг:-1
rikkamp avatar Ubuntu

Как убить процесс, который запускается автоматически

флаг us
rikkamp

Недавно я начал управлять сервером (размещенным у облачного провайдера) для своей работы. Проблема в том, что сервер инъецирован. В течение этого и нескольких месяцев сервер будет заменен на новый, чтобы решить любые проблемы.

ВОПРОС: На сервере ubuntu есть процесс, который я не могу полностью отследить, откуда он регулярно возвращается. Процесс использует около 80% всех доступных ЦП, которые вернутся после того, как будут убиты. Есть ли способ автоматически убить этот процесс, когда он появится (всегда имеет одно и то же имя). Или есть способ заблокировать запуск этого процесса (процесс не указан в сценариях запуска).

Может быть, этот вопрос действительно глупый или неполный. Набор навыков при этом не самый большой. Так что любые советы/подсказки приветствуются.

Имя процесса называется kthzabor, а версия Ubuntu — 18.04.

70
0 + 0
24601 avatar
флаг in
24601
может помочь узнать, что это за процесс, и версию Ubuntu для начала. [отредактируйте] свой вопрос соответственно.
4
Ответить
rikkamp avatar
флаг us
rikkamp
Обновлю вопрос! Спасибо за отзыв
0
Ответить
rikkamp avatar
флаг us
rikkamp
Спасибо за советы ребята ! Только что проверил crontab для всех пользователей, но cron не найден. Также попытался найти kthzabor, но он просто вернул новую строку терминала (безрезультатно). Установлю sysdig! это хороший совет. Сообщу вам об этих результатах
0
Ответить
rikkamp avatar
флаг us
rikkamp
Вот обновление! Я нашел местоположение файла: D. Он был помещен в /dev/shm. Я удаляю файл, но, как и ожидалось, проблема лежит намного глубже: 0. Теперь я сделал скрипт с incron, который удаляет файл каждый раз, когда он появляется. Возможно, это не самое чистое решение, но мы будем мигрировать с этого сервера. @Rinzwind, не могли бы вы опубликовать свой ответ на этот вопрос, потому что именно так я нашел проблему!
0
Ответить
флаг cn
Rinzwind
Я добавил некоторые дополнительные :)
0
Ответить
Рейтинг:0
avatar Ubuntu
флаг cn
Rinzwind
  • kthzabor — это крипто-майнер.

Используйте следующие команды, чтобы увидеть, можете ли вы найти файл-нарушитель:

sudo -i && crontab -l 
кронтаб -л 
далее /etc/crontab 
grep kthzabor /etc/systemd/system/*
sudo updatedb && найти kthzabor

и посмотреть, показывает ли это что-нибудь.

Если это не так, вы также можете сделать

sudo find / -name '*kthzabor*' -print

но это займет некоторое время :)

Еще один, который поможет:

pstree -aH {pid процесса, который нужно найти}

Это перечислит все процессы с командами

На этот раз он находился в /dev/шм поэтому всем, кто читает это, проверьте, что 1-й.

Просто работа с оскорбительным сценарием — это первый шаг: сценарий будет воссоздан при удалении. Сделай sudo chmod 000 ктзабор и это будет нечитаемо и неудаляемо. Это может остановить это. Может быть, это лучше, чем удалить его.

системный поиск это инструмент для отслеживания процесса до того, что его запустило. Будет активен процесс, который вам нужно удалить/деактивировать. Просто удаление оскорбительного скрипта — это первый шаг.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.