谷子猫博客

一个简单爱分享的小站!^_^!
首页>> 技术文档 >>linux主机里面的"tamperuser"是什么进程,有什么用,是病毒吗

linux主机里面的"tamperuser"是什么进程,有什么用,是病毒吗


最近在检测机子负载的时候,发现主机当中有个“tamperuser"进程,一直有CPU占用。照例网上一搜,都说是“油猴”相关插件。但是这个是debian系统,系统是不可能跑油猴插件的吧?


继续搜,仍然搜不到是什么内容。
于是记住PID,用 pkill -99 PID 方式试图中断进程,结果发现进程无法被中断,刷一下又出来了。
"tamperuser"进程无法被终止

于是问豆包,豆包很明确告诉我,这个是异常恶意进程,是 挖矿/远程控制 的木马。还告诉我这个恶意的木马特征:

行为表现
CPU 满载占用(门罗 / 莱特挖矿)、带宽异常跑流量(肉鸡代理)
开机自启:crontab 定时任务、systemd 异常 service、rc.local 植入
外联恶意 C2 域名 / 境外 IP,窃取服务器密钥、SSH 账号

这还得了,要是搞一下攻击,机子都得被封。
我立马按照它的提示运行命令删除文件,结果文件不存在,整了好一会,删不了内容。
在我添加了环境(Debian12 +宝塔)后,仍然提示是病毒。

但是实在干不掉内容,但是执行命令找到了进程的真实文件地址:
ls -l /proc/$(pidof tamperuser)/exe

通过命令查询进程依存文件

文件位置,莫不是在宝塔目录下??

登录后台后果然在目录下发现了这个文件,但是打开看,是宝塔的插件,防篡改插件。
找到"tamperuser"进程来源于宝塔的插件

安装全站防篡改插件后,自动生成一个进程 tamperuser,这个进程常住内存,且普通命令无法终止。在卸载防篡改插件后,这个进程消失。
对于一些老旧的项目,源码,建议还是开通防篡改好一些。谷子已经数次遇到ThinkPHP的模板被修改文件添加跳转,这对于用户和搜索引擎都是很不好的事情。


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
版权所有,转载注意明处:谷子博客 » linux主机里面的"tamperuser"是什么进程,有什么用,是病毒吗
标签: 安全 维护 代码 宝塔

发表评论

路人甲
未显示?请点击刷新

网友评论(0)