[問題] 一個不明的程式(pscan2)在執行 是不是被駭了?
今天在家裡遠端SSH研究室server發現都連不上
先連到研究室XP的桌機發現OK
研究室桌機SSH研究室server發現也OK
但是連上去輸入密碼之後發現隔了好一會(很反常)才成功登入
見鬼了,昨天從家裡連都可以,今天不知道為何不行
top看看現在在執行啥
top - 05:01:31 up 6 days, 2:09, 1 user, load average: 0.97, 0.96, 0.91
Tasks: 109 total, 2 running, 106 sleeping, 1 stopped, 0 zombie
Cpu(s): 5.0%us, 41.4%sy, 0.0%ni, 49.9%id, 0.0%wa, 0.0%hi, 3.7%si, 0.0%st
Mem: 896684k total, 675300k used, 221384k free, 167472k buffers
Swap: 4096564k total, 1764k used, 4094800k free, 313352k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
28605 test 25 0 1596 492 412 R 100 0.1 1:33.16 pscan2
2 root RT -5 0 0 0 S 0 0.0 0:09.97 migration/0
1 root 15 0 10324 688 580 S 0 0.1 0:00.63 init
3 root 34 19 0 0 0 S 0 0.0 0:04.65 ksoftirqd/0
.
.
.
以下略
又再度見鬼了,test是之前開來測試一下的
怎會有人用test這個帳號登入
我趕緊kill -9 掉這個 PID
再top一次發現這個程式又陰魂不散開始執行
我就userdel掉test這個帳號
結果再top一次
發現
top - 05:06:01 up 6 days, 2:13, 1 user, load average: 0.93, 0.97, 0.91
Tasks: 109 total, 2 running, 106 sleeping, 1 stopped, 0 zombie
Cpu(s): 5.5%us, 41.5%sy, 0.0%ni, 50.0%id, 0.0%wa, 0.0%hi, 3.0%si, 0.0%st
Mem: 896684k total, 695164k used, 201520k free, 167500k buffers
Swap: 4096564k total, 1764k used, 4094800k free, 313352k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
28427 512 25 0 1596 492 412 R 100 0.1 0:24.87 pscan2
28393 root 15 0 12584 1068 808 R 0 0.1 0:01.28 top
1 root 15 0 10324 688 580 S 0 0.1 0:00.63 init
2 root RT -5 0 0 0 S 0 0.0 0:10.01 migration/0
3 root 34 19 0 0 0 S 0 0.0 0:04.66 ksoftirqd/0
.
.
.
怎會出現512這個user阿!!!!!!
我從沒新增過這個user
在home底下也沒看到這個user
而且pscan2這個程式一直把CPU吃光光
有人知道這支程式是幹麻的嗎?
還是我主機被入侵了?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.46.253
推
10/29 09:16, , 1F
10/29 09:16, 1F