关于挖矿，你需要知道的一切

ps命令被替换后，会修改ps输出的内容，从而隐藏可疑进程。此时直接使用ps命令时，会导致查询不准确。比如gates木马会替换ps命令，直接使用ps -ef命令查看进程时，会隐藏一个位于/usr/bin/下的进程。如下所示，使用busybox可看到可疑进程，但是使用系统的ps命令就不会看到/usr/bin/bsd-port/recei进程。

2、是否修改了动态链接库

如果找不到占用CPU较高的进程，可考虑排查是否修改了动态链接库，使用cat /etc/ld.so.preload 或echo $LD_PRELOAD 命令查看是否有预加载的动态链接库文件。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!