wnTKYg进程发现 执行top 会发现此进程。...wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。...查找挖矿进程 其次,我想找一下这个病毒存在的路径。执行了个命令: find / -name wnTKYg* 或者在top下,按C 就可以显示这个路径了。...发现这个wnTKYg 的程序在/tmp 下。 处理挖矿病毒 直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。 继续观察top以及和/tmp路径下的文件进行对比。...结果 我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。 观察了top一段时间,发现此病毒暂时没有复发。
首先把进程放到后台 nohup python main.py & 然后保持退出终端继续运行 ctrl-z bg 输出在nohup.out里面 输入fg,可以把任务调到前台并取消 输入jobs...显示后台进程
一、思路 先与客户端建立好连接, 每次监听到一个客户端之后,都需要产生一个子进程去处理这个连接,然后父进程继续去等待监听,唯一一个要注意的点就是要使用信号来监听子进程是否结束,从而对其进行回收,防止僵尸进程的产生...&opt, sizeof(opt)); (3)bind函数 bind(lfd, (struct sockaddr*)&ser_addr, sizeof(ser_addr));b这个函数主要目的就是将服务器的地址结构绑定到套接字...lfd上,所以开始要设置服务器的ser_addr:ser_addr.sin_family = AF_INET, ser_addr.sin_port = htons(8888);ser_addr.sin_addr.s_addr...监听到了客户端后,就要开始创建子进程来对这个监听进行处理;pid = fork() 3、子进程处理通信 因为子进程不需要监听连接,使用可以close(lfd);之后便可以进行通信处理 void do_work...sizeof(buf)); tcp.Write(cfd, buf, n); tcp.Write(STDOUT_FILENO, buf, n); } } 4、父进程回收子进程
S 13:02 0:00 \_ /usr/sbin/httpd 我们查看httpd 服务器的进程;您也可以用pgrep -l httpd 来查看; 我们看上面例子中的第二列,就是进程PID的列,其中4830...是httpd服务器的父进程,从4833-4840的进程都是它4830的子进程;如果我们杀掉父进程4830的话,其下的子进程也会跟着死掉; [root@localhost ~]# kill 4840 注:...是不是httpd服务器仍在运行?...[root@localhost ~]# kill 4830 注:杀掉httpd的父进程; [root@localhost ~]# ps -aux |grep httpd 注:查看httpd的其它子进程是否存在...,httpd服务器是否仍在运行?
Nginx服务器的进程有3类:主进程、工作进程、缓存进程 (1)主进程 Nginx启动时运行的主要进程,主要功能是与外界通信和对内部其他进程进行管理 主要工作内容 1)读取配置文件,验证有效性和正确性...2)建立、绑定、关闭 socket 3)按照配置生成、管理、结束工作进程 4)接收指令,如 重启、升级、退出 5)不中断服务,平滑重启、升级,升级失败的回滚处理 6)开启日志文件,获取文件描述符 (2)...工作进程 由主进程生成,生成数量由配置文件指定,工作进程生存于主进程的整个生命周期 主要工作内容 1)接收请求 2)将请求依次送入各个功能模块进行过滤处理 3)IO调用,获取响应数据 4)与后端服务器通信...,接收后端服务器处理结果 5)数据缓存,访问缓存索引、查询、调用缓存数据 6)发送请求结果 7)接收主进程指令,如 重启、升级、退出 (3)缓存进程 缓存进程有两类 1)缓存索引重建进程 nginx启动后由主进程生成...,在缓存元数据重建完成后就自动退出 该进程启动后,对缓存文件的目录结构扫描,在内存中建立索引元数据库 2)缓存索引管理进程 生存于主进程的整个生命周期 负责在索引元数据更新完成后,对元数据是否过期进行判断
https://blog.csdn.net/huyuyang6688/article/details/78994909 背景 ---- 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢...,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ ?...在上图2中,除了imWBR1,看到还有一个进程,主要目的是从下载imWBR1这个程序,它可能是imWBR1的守护进程,果不其然,过了一会,imWBR1又“活”了,应该就是这个守护进程搞的鬼,找到该进程的名字为...木马来历 ---- 最后说下,这个木马是怎么进来的呢,查了一下原来是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载imWBR1和ddg文件并运行,imWBR1...参考文章: 1、清除wnTKYg 这个挖矿工木马的过程讲述 2、比特币挖矿木马Ddg分析 【 转载请注明出处——胡玉洋《记一次服务器被挖矿木马攻击的经历》】
多进程TCP并发服务器 最初的服务器都是迭代服务器,服务器处理完一个客户的请求,再接受下一个客户的请求。但是我们的期望应该是一台服务器同时为多个客户服务。...实现并发服务器最简单的办法就是为每个客户均fork一个子进程。...[accept返回后客户-服务器的状态] 并发服务器的下一步是调用fork,下图是从fork返回后的状态。此时描述字listenfd和connfd是父进程-子进程共享的。...[fork返回后客户-服务器的状态] 下一步是父进程关闭已连接套接口,子进程关闭监听套接口。...[父子进程关闭相应套接口后客户-服务器的状态] 最后的结果是子进程处理与客户的连接,父进程可对监听套接口调用accept来处理下一个连接。
次会用到我们上次写的多进程服务器 我们既然学习了 面向对象,就用面向对象来改进一个这个程序: import socket import re import multiprocessing class...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...最终还是要在服务器中国调用函数,我们想要把他分开。 很简单,我们把请求的方法从服务器传过去,在py文件中判断就好了。自己尝试一下。...但是WSGI就是负责和服务器交互的,我们需要在服务器中修改。
当服务器有后台进程在运行时候,一般输出不会在命令行界面显示,需要一行命令来实时查看后台进程的输出结果先输入ps查看后台进程然后输入:python your_script.py > output.log...然后进入到后台程序的目录下面然后输入:tail -f output.log这样就可以实时查看后台进程输出了
故事情节: 有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常的进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。...就是以上三张图,在proc目录中的exe指向的文件已被删除,我看到这里,我好奇这个进程肯定是被隐藏掉了。这时,我急中生智跟这位朋友要了root账号密码。...登录服务器用top命令一看,发现一个奇怪的进程在运行,我使用kill命令将其杀后,等了十来分钟后,发现没有被启动,这时我和这位朋友说干掉了,他问我是不是kill掉了,我说嗯,他又补充到,这个进程杀掉过段时间会起来的...没过多久,我又看了一下,发现这个进程换了个名字又启动了。...还干满了CPU,就在这时,我在研究这个进程运行文件的时候发现: 这个进程会连到一个韩国的服务器上,我访问这个IP发现是一个正常的网站,没有异常情况。
进程间通信(三) — 进程同步原语及管道与队列 回顾操作系统所提供的所有进程间通信方式的系统调用,我们会发现还有两种进程间通信方式我们还没有介绍:共享内存与域套接字,本文我们就来介绍这剩下的几种 IPC...但 Python 的 multiprocessing 包中仍然提供了两种方法让你可以在多进程环境下共享数据: 共享内存 服务器进程 3....服务器进程 — server process python 提供了一种十分类似共享内存的数据共享机制 — 服务器进程。...通过 multiprocessing 包中的 Manager 类可以构造一个服务器进程对象,他支持用于进程间共享的多种数据类型: list dict Namespace Lock RLock Semaphore...BoundedSemaphore Condition Event Barrier Queue Value Array 一旦创建,对象的使用与原生类型的用法是完全相同的,因此相比于共享内存,服务器进程的使用更为简单和灵活
# 0x01 攻击方式 利用的是通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。 通过对脚本的分析,发现黑客主要是利用 `Redis未授权访问漏洞`进行入侵。...将执行与完全进程参数字符串匹配 -f 为正则表达式模式 pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg。...#终止wnTKYg进程 终止以ddg*为前缀的进程 删除/tmp/ddg* 为前缀的文件 删除/tmp/wnTKyg文件 &&先成功执行前面的命令在执行后面的命令 rm -rf /boot/grub/deamon.../]' '{print $1}' | xargs kill -9 #查询网络状态 筛选 端口进程为:13531(此端口为矿池端口) 统计进程目录下的文件行数并以/分割 最后杀掉xgrgs 进程...另外建议用 find/locate 再找一下如下关键字`qW3xT` `ddg*` `wnTKYg` `2t3ik` 等, 尽可能清理干净。
起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。 登录服务器后,首先使用Top命令,查看CPU占用。 ?...发现CPU占用率达到100%,可是却没有相关占用高的进程。 想用apt安装一些软件,来协助查毒,结果全部报错,(后证明确实是病毒搞的鬼,清完毕后,apt就能正常使用了) ? 遂决定手动查毒试一试。...&& pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg rm -rf /tmp/qW3xT.2 /tmp/ddgs.3013 /tmp/ddgs...这时,我考虑先下手解决进程隐藏的问题。通过查阅一些资料。发现很多病毒会对 /etc/ld.so.preload 做手脚以达到提前运行的目的。...修改为可执行,运行后删除,这也就是为什么我们可以在进程中看到他,但是不能找到他的原因了。 对这个字符串做交叉引用,看是从哪里下载下来的。 ?
GlusterFS服务器端进程分析 服务端进程信息: root 348 0.0 0.2 273104 16268 ? ...bdda-0a4fe0223384 --brick-port 49155 --xlator-option tank-server.listen-port=49155 服务端重启glusterd服务,如下进程...0d5ba4a3-c6fa-4afd-ad39-a2842ca3cde0 --brick-port 49176 --xlator-option tank-server.listen-port=49176 其他3个进程...PID会变,生产新的进程。...当服务器端执行gluster volume stop操作后,上述进程消失,gluster volume start后会创建新的线程。
进程和线程的使用在前面博文已经讲述完毕,在完成一个最简单的服务器之后,就是要考虑下如何实现并发服务器了。 要实现服务的并发,只能通过进程和线程两种方式。...在实际并发服务器应用场合,在IO层大多通过两个地方来提高代码效率,一个是描述符处理,一个是线程/进程调度处理。 下图简单描述了并发服务器的原理: ?...在处理IO时,会用到IO复用技术提高效率,在线程/进程分配时,会先构造线程池或进程池,并以某种方式调度,这些在后续博文详细描述。 下面是并发实现的简单代码,利用线程和进程实现服务器的并发。...所以在代码中,父子进程都会关闭不需要的描述符。 测试结果如下: ? ps -aux查看系统进程,可以看到三个进程,一个是主进程用于listen监听,两个子进程进行通信。 ?...线程并发和进程并发各有优劣,目前大多服务器还是用线程进行并发的,进程要对父进程进行拷贝,资源消耗大,但相互直接资源互不影响,线程效率高但是要注意锁的使用,一个线程可能会影响整个服务器的运行。
仅供学习,转载请注明出处 前情回顾 前面写了两个篇章,主要介绍了使用tcp开发web服务器的功能。...Python 开发Web静态服务器 - 返回固定值:胖子老板,来包槟榔 Python 开发web服务器,返回HTML页面 但是这服务端是有一个致命的性能问题,那就是采用循环接收http请求。...,args=(client_socket,)) new_process.start() # 开启子进程 好了,这里就已经加好了子进程。...其实,这个就是多进程的特性,子进程会从开启之前复制前面的代码,包含了client_socket接口,当子进程运行的时候,并无法关闭,这就需要从主进程来关闭了。...# 因为子进程已经复制了父进程的套接字等资源,所以父进程调用close不会将他们对应的这个链接关闭的 client_socket.close() if __name__
多进程服务器 为了可以处理多个客户的请求,我们之前一直使用多进程TCP并发服务器,socket()监听一个套接口,accept()多个用户,父进程监听listenfd,子线程们在connfd上进行应答处理...单进程服务器 通过使用select函数,我们可以在单进程服务器的前提下,处理多客户的请求,而无需为每个客户派生一个子进程。下面描述此模型下的处于不同阶段的服务器状态。.../tcpservselect01 查看服务端进程情况 可以看到目前主机上有一个服务器进程 [root@VM_0_6_centos ~]# ps -la F S UID PID PPID C.../tcpcli01 150.*.*.* hello hello 再次查看服务端进程情况 可以看到此时仍然只有一个进程。...,但是它避免了为每个连接的客户创建一个新的进程,是select的一个经典应用。
该类实现了多进程的socket服务,目前只写了关于TCP协议,待完善其他内容 所需扩展:socket pcntl <?php /** * Created by PhpStorm....connect_list[(string)$connection]['fd']=$connection; return $this; } /** * 写入客户端进程...$this->connect_list[(string)$connection]['pid']=$pid; return $this; } /** * 派生进程处理...,子进程继续监听连接请求 $this->addConnectionListProcess($connection,$pid); $this->readSocket...-进程信号 下一篇: php面对对象之后期绑定
Linux 服务器正常启动后,提供服务时会调用程序,占用进程。这时候我们如何查看系统中有哪些进程在被调用呢?我们可以通过以下命令来查看。...通过 ps 命令查看进程,根据所显示的信息可以了解哪个进程正在运行、哪个进程被挂起了、进程已运行了多久、进程正在使用的资源、进程的相对优先级,以及进程的标志号(PID)。...SMar16 0:06 nginx: worker process 二、top 命令 top 命令可动态显示服务器的进程信息。top 命令和 ps 命令的基本作用是相同的,都显示系统当前进程的状况。...另外,大家有兴趣也可以了解一下 pkill 的用法,在服务器里用它来“踢人”还是很方便的,这个命令在工作中我们用得不多,大家稍微了解一下即可。...在 Linux 下,最强大的进程管理命令莫过于 ps 和 top 了,我们应该掌握它们的详细语法,在工作中灵活地使用它们。 注:以上内容整理自《构建高可用的 Linux 服务器》一书。
,腾讯云安全中心监测到部分用户云主机被植入门罗币挖矿程序,攻击者主要利用Redis未授权访问、SSH弱密码、 OrientDB数据库远程命令执行、Struts2 S2-052远程代码执行等多种漏洞入侵服务器.../local/bin/,/tmp目录下,是否包含以bcc结尾的可执行文件, 如果存在请计算md5,如果md5值为:d894bb2504943399f57657472e46c07d, 请结束此文件对应的进程...5、/tmp目录下,如果包含 qW3xT.2, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, wnTKYg, 2t3ik等文件 请清理; 6、 清理完成后,...请观察一段时间(半天)服务器。...如果仍然存在挖矿进程(长时间100%占用CPU),请重装系统以避免进一步的损失。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
云直播
对象存储
