Centos 服务器漏洞排查

今天，服务器预警cpu负载过高。 登录服务器使用top命令查看了下，有两个进程直接消耗了99%的cpu。

其中一个进程id为29115

我查看了下进程的执行路径

ls -al /proc/29115/exe

结果显示执行路径为/tmp/rouge_s

但是进入/tmp目录发现啥都没有。

进入/proc/29115目录，查看了下几个文件

cwd符号链接的是进程运行目录；

exe符号连接就是执行程序的绝对路径；

cmdline就是程序运行时输入的命令行命令；

environ记录了进程运行时的环境变量；

fd目录下是进程打开或使用的文件的符号连接。

主要查看了下cmdline以及cwd目录，发现cwd目录符号连接了整个/目录，原来执行脚本的完整路径是/proc/29115/cwd/tmp/rouge_s.

发现里面好多个挂马文件，修改了很多参数，具体细节还在研究中，解决的办法是重启nginx以及php。