一个用户帐号被黑客攻击了我的一台服务器,黑客已经开始发送一些垃圾邮件。 在我杀死进程之前,我想把它们复制一份,但是当我
tar czf 30333.tar.gz /proc/30333 所有文件都是空的。
题
如何制作/proc/30333的副本?
这里是一个脚本,允许您限制文件的大小保存(这里32或64 MiB取决于壳):
PID=30333 ulimit -f 65536 cd /proc/$PID || exit 1 find . -type d -exec sh -c 'mkdir -p /tmp/proc/$PID/$1' sh {} \; find . -type f -exec sh -c 'cat $1 > /tmp/proc/'$PID'/$1' sh {} \; tar czf /tmp/$PID.tgz /tmp/proc/$PID rm -rf /tmp/proc/$PID
/proc是一个虚拟的文件系统,没有任何实际的文件,而是包含系统上运行的进程的信息。
解
cp -r /proc/30333 /root tar czf /root/30333.tar.gz /root/30333
确保/proc/30333/exe包含在您的复制内容中。 不只是符号链接,而是它指向的实际可执行文件。
内存映像也可能有用。 您可以通过键入以下内容创build核心转储:
gdb attach 30333 gcore