服务器上有个进程
root 3706750 1 99 Dec27 ? 3-18:52:23 /root/.local/share/javac
root 3713394 1 99 Dec27 ? 3-07:35:10 /root/.local/share/javac
root 3784731 1 94 Dec28 ? 23:18:00 /root/.local/share/javac
root 3806525 1 78 Dec28 ? 12:46:06 /root/.local/share/javac
root 3806565 1 78 Dec28 ? 12:46:08 /root/.local/share/javac
删除了又会出现。这个是不是被挂马了?有大佬知道吗?
 |
1
WuSiYu Dec 29, 2025  1
是的,谁家正经 javac 在这个路径上( doge
|
 |
2
Sodacooky Dec 29, 2025
|
 |
3
conglovely Dec 29, 2025
家里飞牛上周也有一个 javae 和 sh 一直挂着,CPU 90+% 干掉后一会儿又自启动了,后面删除 tmp 下程序并禁用 1001 用户组就好了 linux 小白不知道怎么防
 |
 |
4
zjsun Dec 29, 2025 1
父进程是 1 ,应该是 systemd ,挨个翻一遍 systemd 中的每个 service ,实在不行试试执行:
```shell echo "" > /root/.local/share/javac ``` |
 |
5
julyclyde Dec 29, 2025
@zjsun
首先,正经 javac 不可能是 service 其次也不需要遍历 service 来检查,只需要看看这个进程所属的 cgroups 就知道了 cat /proc/3806525/cgroups |
 |
6
tedzhou1221 OP 找到原因了。机器开了 java 的远程调试,开了个 5005 端口。被扫到了,中招了
|
 |
7
wo8335224 Dec 30, 2025
@tedzhou1221 我也中招了~~感谢指点,一摸一样。
|
|
8
tedzhou1221 OP @zjsun 感谢提醒。我把 systemctl status 信息给 ai 分析了。直接给出了问题
|
Select Language