差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

两侧同时换到之前的修订记录前一修订版
后一修订版		前一修订版
linux:linux问题排查:linux-挖矿软件排查步骤 [2026/01/29 09:07] – [使用审计功能,找到元凶] ctbotslinux:linux问题排查:linux-挖矿软件排查步骤 [2026/01/29 09:11] (当前版本) – [使用审计功能,找到元凶] ctbots
行 56: 行 56:
  
 </code> </code>
 +
 +如下的内容,就是一段 挖矿软件的审计信息
 +
 +/dev/shm/netools (deleted) 一个不存在的文件,进程号 4087120 , 尝试进行挖矿通信; 如果我们去 ls /proc/4087120  不要被骗了, /proc目录内容被改了,直接 kill -9 4087120 
 +
 +<code html>
 +type=SYSCALL msg=audit(01/26/26 15:09:29.931:51660383) : arch=x86_64 syscall=connect success=no exit=EINPROGRESS(Operation now in progress) a0=0x15 a1=0x7fe11a13cb80 a2=0x10 a3=0x0 items=0 ppid=1 
 +pid=4087120 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=95231 comm=netools exe=/dev/shm/netools (deleted) key=network_trace
 +</code>
 +