首页
JAVA笔记
数据库笔记
混乱记忆
小站记
您现在的位置
linux 根据PID查找运行程序的路径
简介: linux 被入侵植入后门后,介绍根据PID查看后门程序的位置
今天阿里云报ecs 被入侵的警告,抽空上去看了看,发现一些莫名其妙的进程在执行,ps -ef 看到如下进程:
root     21907     1  0 07:15 ?        00:00:09 ./33899
root     22193     1 10 11:12 ?        00:07:57 ./Yang
root     15374     1  0 Mar15 ?        00:05:46 ./Telenn
。。。。
正常情况下不会出现这样的进程名称,表示怀疑!
通过上面的信息,只知道有一个 33899 Yang Telenn 的进程在程序在执行,而看不到程序的路径,
下面我们就以22193为例 利用 pid 来查看执行程序的信息(路径等)
执行如下命令:
cd /proc/22193
ls -an
得到信息如下:
total 0
dr-xr-xr-x  7 0 0 0 2017-03-25 11:31:31 .
dr-xr-xr-x 93 0 0 0 2016-12-14 04:12:32 ..
dr-xr-xr-x  2 0 0 0 2017-03-25 12:37:21 attr
-rw-r--r--  1 0 0 0 2017-03-25 12:37:21 autogroup
-r--------  1 0 0 0 2017-03-25 12:37:21 auxv
-r--r--r--  1 0 0 0 2017-03-25 12:37:21 cgroup
--w-------  1 0 0 0 2017-03-25 12:37:21 clear_refs
-r--r--r--  1 0 0 0 2017-03-25 12:31:54 cmdline
-rw-r--r--  1 0 0 0 2017-03-25 12:37:21 coredump_filter
-r--r--r--  1 0 0 0 2017-03-25 12:37:21 cpuset
lrwxrwxrwx  1 0 0 0 2017-03-25 12:37:21 cwd -> /usr/***/****/bin
-r--------  1 0 0 0 2017-03-25 12:37:21 environ
lrwxrwxrwx  1 0 0 0 2017-03-25 12:29:33 exe -> /usr/***/*****/bin/Yang
dr-x------  2 0 0 0 2017-03-25 12:29:34 fd
dr-x------  2 0 0 0 2017-03-25 12:37:21 fdinfo
-r--------  1 0 0 0 2017-03-25 12:37:21 io
-rw-------  1 0 0 0 2017-03-25 12:37:21 limits
-rw-r--r--  1 0 0 0 2017-03-25 12:37:21 loginuid

标红的路径就是程序的真实路径。