Linux应急响应之进程排查篇
木马执行后,必然出现一个恶意进程。那么,该如何寻找这个进程呢?
我是通过这四个特征判断
(1)进程占用cpu,内存耗能高。
(2)进程运行时间,开始时间,差异化明显
(3)进程路径,使用命令参数异常
(4)多数病毒会替换系统命令
1.ps -aux
USER 哪个用户启动了这个命令
PID 进程ID
CPU CPU占用率
MEM 内存使用量
VSZ 如果一个程序完全驻留在内存的话需要占用多少内存空间
RSS 当前实际占用了多少内存
TTY: 终端的次要装置号码 (minor device number of
tty)
STAT 进程当前的状态(“S”:中断 sleeping,进程处在睡眠状态,表明这些进程在等待某些事件发生–可能是用户输入或者系统资源的可用性;“D”:不可中断 uninterruptible
sleep;“R”:运行 runnable;“T”:停止 traced or stopped;“Z”:僵死 a defunct zombie process)
START 启动命令的时间点
TIME 进程执行起到现在总的CPU暂用时间
COMMAND 启动这个进程的命令
2.ps -ef
3.lsof –p PID
4.pstree
5.top
使用方式: 默认进入top时,各进程是按照CPU的占用量来排序的
-
敲击键盘“b”(打开/关闭加亮效果)可以通过敲击“y”键关闭或打开运行态进程的加亮效果
-
敲击键盘“x”(打开/关闭排序列的加亮效果)
-
通过”shift + >”或”shift + <”可以向右或左改变排序列
-
敲击“f”键,top进入另一个视图
6.结束进程
kill -9 PID
pkill -9 PID