服务器被入侵，用作挖矿了。有个情况很奇怪

CPU 全部 100%了，但是
ps auxw --sort=%cpu 查不到

用 top 也是看不到，大约间隔 15 左右会有一个 CPU 占比很高的进程出现（/usr/bin/xl2tpd ），这个就是挖矿的程序

这个进程用名称和 PID 都无法查到
ps -ef | grep 'xl2tpd'
ps -p PID

但是
lsof 可以搜到
lsof | grep 'xl2tpd'
lsof -p PID

ls /proc/PID 也是有信息的

通过 lsof 搜到另一个进程
xl2tpd 35993 root *507r REG 0,3 0 975039824 /proc/43977/cmdline
执行程序：/usr/bin/systemd-network

同样用 ps 也是查不到的
检查一下 ps 有没有被动手脚替换了或者修改了？

没错， ps 被改了，谢了！

学习了!

这个程序，挖矿的时候也不说限制下 cpu 。。活该被发现啊

一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -

绝大多数这种情况都会被改 ps 和 top 的

其实我想问 怎么挖

http://www.freebuf.com/articles/system/117234.html
syscall(__NR_hide) // 294 信号 。

https://github.com/xelerance/xl2tpd
URL : https://www.xelerance.com/software/xl2tpd/
Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661)
只要装了 NetworkManager ，这个包就会被安装，通过 systemd-network 启动的。。。。
如果木马真的修改了 ps 、 top 之类的程序，那它肯定也会自我隐藏，你根本看不到的，牛 B 的木马，就算你从干净系统里搞一个静态链接的 ps 过去，也查不到，只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性，找出它。。。

学习学习

这种情况下先检查系统命令是否被做了手脚
要是系统命令都被做了手脚。。备份一下重装吧

厉害了

怎么被黑的？

这个问题怎么解决呢 找不到源头 现在只能使用 crontab 1 分钟杀一次进程来解决

我也觉得只能重新安装系统了。

xl2tpd 是一個 VPN 服務端，正常情況下不會佔用那麼高的 CPU ，用 ps 也能看到進程。因此應當是偽裝的。

学习学习

[[email&xl2tpd -V
cpuminer 2.3.3
built on Jul 1 2016
features: x86_64 SSE2 AVX AVX2 XOP
libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8

xl2tpd 是 l2tp vpn 的程序名，你这个是挖矿程序，被别人中了马用来挖矿？

一般这种情况木马是替换 ps 源程序还是就加个别名之类的？

是伪装成 xl2tpd 的挖矿程序
ps 文件被替换了，不是别名
初步判断是通过 redis 入侵的

問下，如果卸載了 Dbus 的話，是不是所有 daemon 都運行不了了？