这是别人服务器被黑经历,我在这里做一下简单分析
定位异常进程
top
htop
ps
1795937 root 20 0 2476464 2.3g 4 S 798.9 15.4 166:59.08 .fullgc
几个明显异常点:
进程名:.fullgc(隐藏文件名)
CPU 占用:接近 800%(多核跑满)
运行用户:root
常驻运行
基本可以判定:
这肯定不是正常程序占用
进一步确认该文件位置:
/ql/data/db/.fullgc
在完成本地排查并确认 .fullgc 进程行为异常后,为了进一步验证其性质,我将 /ql/data/db/.fullgc 文件上传至 微步在线(ThreatBook) 进行分析。
评论 (0)