Linux检查恶意进程及非法端口

Linux检查恶意进程及非法端口

1. 运行 netstat –antlp 查看下服务器是否有未被授权的端口被监听，查看下对应的 pid。

检查服务器是否存在恶意进程,恶意进程往往会开启监听端口，与外部控制机器进行连接。

解决方法：

a. 若发先有非授权进程，运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe （$PID 为对应的pid 号），查看下 pid 所对应的进程文件路径。

b. 如果为恶意进程，删除下对应的文件即可。

2. 使用 ps -ef 和 top 命令查看是否有异常进程

检查说明：运行以上命令，当发现有名称不断变化的非授权进程占用大量系统 CPU 或内存资源时，则可能为恶意程序。

解决方法：确认该进程为恶意进程后，可以使用 kill -9 进程名 命令结束进程，或使用防火墙限制进程外联。