linux 查找可疑脚本的记录
使用ps -aux
发现了可疑的脚本在运行
通过执行cat failebane.sh
发现脚本是加密的
上面的命令都逐一检查,还是不清楚这个脚本的来源
1
2
3
4
netstat -antlp | more
netstat -anltp | grep $pid
ls -l /proc/$PID
last
或者说是依赖在哪个程序,总热不敢贸然kill -i pid
最后使用lsof -p pid
才发现该脚本是依附在某个正常运行程序而产生的。