linux主机里面的"tamperuser"是什么进程,有什么用,是病毒吗
最近在检测机子负载的时候,发现主机当中有个“tamperuser"进程,一直有CPU占用。照例网上一搜,都说是“油猴”相关插件。但是这个是debian系统,系统是不可能跑油猴插件的吧?
继续搜,仍然搜不到是什么内容。
于是记住PID,用 pkill -99 PID 方式试图中断进程,结果发现进程无法被中断,刷一下又出来了。

于是问豆包,豆包很明确告诉我,这个是异常恶意进程,是 挖矿/远程控制 的木马。还告诉我这个恶意的木马特征:
行为表现
CPU 满载占用(门罗 / 莱特挖矿)、带宽异常跑流量(肉鸡代理)
开机自启:crontab 定时任务、systemd 异常 service、rc.local 植入
外联恶意 C2 域名 / 境外 IP,窃取服务器密钥、SSH 账号
这还得了,要是搞一下攻击,机子都得被封。
我立马按照它的提示运行命令删除文件,结果文件不存在,整了好一会,删不了内容。
在我添加了环境(Debian12 +宝塔)后,仍然提示是病毒。
但是实在干不掉内容,但是执行命令找到了进程的真实文件地址:
ls -l /proc/$(pidof tamperuser)/exe
![]()
文件位置,莫不是在宝塔目录下??
登录后台后果然在目录下发现了这个文件,但是打开看,是宝塔的插件,防篡改插件。

安装全站防篡改插件后,自动生成一个进程 tamperuser,这个进程常住内存,且普通命令无法终止。在卸载防篡改插件后,这个进程消失。
对于一些老旧的项目,源码,建议还是开通防篡改好一些。谷子已经数次遇到ThinkPHP的模板被修改文件添加跳转,这对于用户和搜索引擎都是很不好的事情。
谷子猫博客








发表评论