admin avatar

linux 查找可疑脚本的记录

🕟 by admin

使用ps -aux 发现了可疑的脚本在运行

通过执行cat failebane.sh发现脚本是加密的

1
2
3
4
netstat -antlp | more
netstat -anltp | grep $pid
ls -l /proc/$PID
last
上面的命令都逐一检查,还是不清楚这个脚本的来源

或者说是依赖在哪个程序,总热不敢贸然kill -i pid

最后使用lsof -p pid才发现该脚本是依附在某个正常运行程序而产生的。

💘 相关文章

写一条评论