图片来自Pexels的安全部长,赶紧召集大家商量对策。“各位,突发情况,CPU使用率突然飙升,而且已经很久没有下降了,CPU厂的阿Q向我们表示强烈抗议。”这时候,一旁的kill命令说道:“臣,你别着急,给top哥打电话,看看谁在霸占CPU,拿到进程号pid,我就杀了他。”此话一出,在场众人皆是点头赞同,心中的恐慌顿时松了口气。首领站起身来,一脸得意,道:“诸位请过目。”说完,打印出了当前的进程列表:众人瞪大了眼睛,看了半天,也没看出是哪个进程在运行。疯狂的CPU占用,顶哥现在尴尬了。这时候一旁的ps命令上来了,“我试试看。”ps命令深吸一口气,打印出进程列表。但是,仍然没有可疑的进程。“你们两个怎么了,怎么不行?”安全部长有些不悦。“部长,我们俩遍历/proc/目录下的内容,按理说所有的进程都会在这里,我也想不通为什么找不到……”top哥一脸委屈的说道。“遍历,怎么遍历?”“是通过opendir/readdir等系统调用函数遍历的,这是帝国提供的标准接口,应该不会出错,除非……”说到这里,top停了下来。“除非什么?”“除非这些系统调用过滤掉那个进程,否则我是看不到的,难道是有人潜入帝国核心,篡改了系统调用?”安全部长瞪大了眼睛。如果是这样,那可就大事了!netstat见部长焦急的转身,站起身来说道:“部长,我以前认识了一个好朋友,名叫unhide,擅长捕获隐藏进程,要不请他试试?””臣大喜,“还犹豫什么,赶紧去求!“我已经联系过了,很快就到。”大臣看了看netstat,说道:“正好,你看看有没有可疑的外部连接。”netstat点点头,然后打印出所有的网络连接信息:“来来来,一一认领,看看是属于谁的”,部长说。“80端口的这个服务是我的,nginx站起来了.“这个6379端口服务是我的”,redis也站起来了“这个,9200是我的”,elasticsearch说,“3306是我的”“8182是我的”……··吵了一阵子,只有一个连接无人认领:tcp00192.168.0.4:5185488.99.193.240:7777ESTABLISHED-“部长,这可能是隐藏在黑暗中的家伙的连接”,netstat说。安全部长想了想,我问:“在哪里?是卷曲吗?快来访问这个IP地址,了解一下对方的真实情况。”curl站了起来,“我们来了!”curl小心翼翼的发送了一个HTTP请求,对方回复:一行醒目的挖矿poll出现在大家面前。“挖,挖矿病毒!”,顶哥喊了出来.这一刻,在场的所有人都倒吸一口凉气,部长赶紧让防火墙配置一条规则,切断这个连接,这时候,unhide走了进来,简单了解了一下情况后,unhide最后拍了拍自己的胸膛道:“这件事交给我,我一定要把这家伙找出来。”然后unhide操作了一阵猛虎,输出了几行信息:FoundHIDDENPID13053Executable:”/usr/bin/pamdicks”$USER=rootFoundHIDDENPID13064Executable:”/usr/bin/pamdicks”$USER=root我打开了我的眼睛,unhide兄果然没有遮掩,果然发现了几个可疑的分子。top有些怀疑,问道:“敢问你用了多少通道,为什么我看不到这些进程的存在?”unhide笑道:“没什么神秘的,其实我也遍历了/proc/目录,和你的不同,我没有使用readdir,而是从小到大一个一个访问/proc/$pid目录进程id,一旦该目录存在,并且不在ps哥的输出中,那么这就是一个隐藏进程。”一旁的ps笑道:“原来功劳是我的。”“找到了,就是这个人!”netstat大声说道,套接字也是一个文件。刚查了一下,正好这个进程有socket。结合/proc/tcp的信息,可以确定这个socket就是目标端口号为7777的那个!”“好家伙!好家伙”,众人称道。“还等什么,我杀了!”kill哥再也忍不住了。“我删吧”,rm哥也在磨刀。说道:“等一下,cp在哪,先把这家伙备份到隔离目录下,等摔完了再算账。”cp拷贝完成,kill和rm一起执行,身后的家伙当场被处决了。top迅速查看了最新的资源使用情况,惊喜地欢呼道:“好了,CPU占用率终于下降了。真是可喜可贺。”不过,安保部长的脸上还是有些难过。“部长,病毒已经清除了,你怎么还郁闷呢?”助理问道。“病毒虽然清除了,我也不知道这家伙是怎么闯进来的,到底是谁在暗中保护和隐藏,着实让我很是担心!“不知不觉,夜深了,帝国的安全警报忽然又响了起来。”这是怎么回事?”大臣厉声问道。“部长,那家伙rm是假的,今天他骗了我们,病毒根本没有被删除,又卷土重来了!”部长看着远处的天空,CPU厂门口的风扇又开始疯狂转了……作者:轩辕志峰编辑:陶嘉龙来源:转载自公众号编程科技宇宙(ID:xuanyuancoding)
