杀死这些进程使服务器再次正常响应。 那么这些过程在做什么呢,今后怎么能避免呢?
ubuntu@ip-172-16-0-150:~$ ps aux | grep owksvbmS jenkins 10873 0.0 0.0 23172 496 ? Ss 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10875 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10876 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10877 0.0 0.0 23172 496 ? S 01:22 0:09 ./var/lib/jenkins/owksvbmS jenkins 10878 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10879 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10880 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10881 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10883 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 10884 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS jenkins 19874 0.0 0.0 23172 496 ? S 10:58 0:00 ./var/lib/jenkins/owksvbmS jenkins 19875 99.5 0.0 23172 496 ? R 10:58 1:11 ./var/lib/jenkins/owksvbmS jenkins很可能被妥协了。 运行lsof -i查看这个二进制文件连接到哪里…最有可能的是一些中文IP。 查找同一目录中的其他二进制文件(+ x)。
找出一个进程正在做什么的最好方法是通过运行strace -p PID并查看它的作用来附加进程。 要查看进程打开的文件,可以运行lsof -p PID。 这应该给你一个关于过程在做什么的好主意。