`htop` 中的所有 cpu 内核 100%,但没有显示 CPU 使用率高的进程

信息安全 勒索软件
2021-08-20 01:25:03

上下文:我的机器今天被丛林黑客入侵了,所以所有用户文件都被加密了。
我看了看,htop看到了这个。如何从 htop(和顶部)隐藏进程活动以及如何找出导致它的进程?

顶视图

1个回答

在这一点上,你不能也不能再信任你的机器了。

攻击者可能有:

  • 后门你的用户空间(ps, lsof, top, libprocps, md5sum, 等等...)来隐藏他的软件和轨迹。
  • 更不可能,但存在风险,后门你的内核,这样系统调用就不会报告他们打开的文件等......

第一步可能是计算用于分析系统的软件的 MD5sum(tophtop等...),并将其与上游发行版的二进制文件的 MD5 和进行比较。

如果总和不同,则攻击者使用了您的用户空间后门。如果总和没有差异,那么它不能证明任何事情:攻击者可能拥有后门程序md5sum和类似程序。

第二步是获取一个静态构建的busybox(也就是一个完全可移植且独立的二进制文件,不依赖于您系统上的任何库)并使用它来检查您的系统。

供您参考,它busybox是单个二进制文件中每个基本 linux 命令的极简实现。这主要用于嵌入式 linux 世界以节省空间。

如果攻击者的东西(进程、文件……)仍然隐藏,可能是你的内核空间也被后门了……此时,最好的办法是完全重新安装。