输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。 进入/dev/shm/.x/,查看目...
1、cd ~ find / -name "ld-linux*" 查看该文件所在路径,正常情况下类似下方所示 2、crontab -l 查看是否有异常自启动任务,有的话就删掉:比如有自启动任务/mnt/.cache/stak/** 并且在该路径下有ld-linux-x86-64文件,则删除该自定义任务,并删除路径下文件, 3、top 查看ld-linux-x86-64的pid 执行 kill ...
ld-linux-x86-64消耗大量的CPU 1.现象: 服务器CPU使用率很高 top查看cpu使用进程: 2.进程用户是oracle,根据spid查看是否是数据库进程,经过查询发现:不是数据库内部的进程 select a.sql_id,a.sql_text,b.machine,b.osuser,b.schemaname,c.pga_used_mem,d.cpu_time,d.disk_reads,d.runtime_mem,d.module...
首先,执行```pwdx 7531```命令,得到该进程的执行目录,返回结果显示目录地址是"/usr/local/games/.cache", 再执行```find / -name "ld-linux*"```,返回列表中存在目录"/usr/local/games/.cache",再次验证木马位置,就是该地址。 注:/usr/lib64/ld-linux-x86-64.so.2是系统文件,删除后会造成系统异常,...
由于lib64/ld-linux-x86-64.so.2 位于系统的高度 privilege 级别,它能够在运行时避免一些限制,从而提高应用程序的性能。 3. 结论 lib64/ld-linux-x86-64.so.2 是 Linux 系统中重要的共享库文件之一。通过提供 x86_64 架构上的支持和帮助,它为 Linux 系统的运行和操作提供了基础。理解 lib64/ld-linux-x86...
g++ -v main.o test.o...usr/libexec/gcc/x86_64-redhat-linux/4.8.5/collect2 --build-id --no-add-needed --eh-frame-hdr --hash-style=gnu -m elf_x86_64 -dynamic-linker /lib64/ld-linux-x86-64.so.2/usr/lib64/crt1.o /usr/lib64/crti.o /usr/lib64/crtn.o /usr/lib/gcc/x86...
执行`pwdx 7531`命令,发现该进程执行目录为`/usr/local/games/.cache`。使用`find / -name "ld-linux*"`命令确认,该木马位于`/usr/local/games/.cache`目录下。注意,`/usr/lib64/ld-linux-x86-64.so.2`是系统文件,避免误删导致系统异常。进入木马所在目录,发现其包含`cron.d`、`run`、...
2.命令格式 ld [options] 3.选项说明 ld命令支持众多链接选项,但是大部分选项很少被使用,下面是GNU ld命令接受的选项。...ld /usr/lib64/crt1.o /usr/lib64/crti.o /usr/lib64/crtn.o /usr/lib/gcc/x86_64-redhat-li...
输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。
PID USER PR NI VIRT RES SHR S%CPU%MEM TIME+COMMAND127986root20094921254243856S792.40.05885:01ld-linux-x86-64#***异常进程***1813gdm200796924978849292S2.60.64083:59gsd-color798polkitd200619988187965340S1.70.112:43.94polkitd18308root2001069476252843876S1.30.22522:04falcon-transfer1root20019432473684152S0.70...