Linux 查找启动进程的文件_Linux

Linux 查找启动进程的文件

linux

Linux 查找启动进程的文件,linux,Linux,我认为我的服务器已经被破坏了，它有许多perl进程正在运行。但是，我不知道它们是从哪个文件启动的，所以我可以删除它。如何查找此信息？如果运行命令“ps-ef”，则应获得计算机上运行的所有进程的列表。每个进程都有一个进程id号（PID），还有一个父进程。找到有问题的流程并检查其父PID。然后找到具有匹配PID的进程，它应该是您的罪魁祸首。您可以检查符号链接/proc/PID/cwd，也可以从ps（1）检查ppid我要做的第一件事是查看父进程id（ppid）。也就是说，如果PPID为1，则不会告诉您

我认为我的服务器已经被破坏了，它有许多perl进程正在运行。但是，我不知道它们是从哪个文件启动的，所以我可以删除它。如何查找此信息？

如果运行命令“ps-ef”，则应获得计算机上运行的所有进程的列表。每个进程都有一个进程id号（PID），还有一个父进程。找到有问题的流程并检查其父PID。然后找到具有匹配PID的进程，它应该是您的罪魁祸首。

您可以检查符号链接

/proc/PID/cwd

，也可以从

ps（1）

检查

ppid

我要做的第一件事是查看父进程id（ppid）。也就是说，如果PPID为1，则不会告诉您任何信息。

审核文件系统有助于查看

pstree

也有帮助

如果您的系统遭到黑客攻击，您不能信任任何软件，甚至连内核都不能信任。格式化磁盘并重新安装所有内容。没有办法确定你已经清除了感染，因为你不能相信你用来清理东西的工具。您不能将新工具复制到该框中，因为您不能信任SSH守护程序或/bin/cp命令。任何东西——ls、vi、ps、cat、dd等——都可能被一个可以隐藏受感染文件的特洛伊木马所取代。

试试

ls-l/proc//exe

，或者

ls-l/proc//fd

。我不记得perl是否在程序启动后保持脚本文件打开，但如果它保持打开，它将是进程的文件描述符之一

但是如果你的系统是PWND，不要期望任何东西有意义。

在你清理它之后，考虑添加TwitWeRE，如果你把旧磁盘安装在一个新的安装上，你可以复制你的数据文件。检查从中复制的任何文件，并确保从不运行从受感染系统复制的任何程序。