一個不明的程式(pscan2)在執行 是不是被駭了? - Linux

今天在家裡遠端SSH研究室server發現都連不上

先連到研究室XP的桌機發現OK

研究室桌機SSH研究室server發現也OK

但是連上去輸入密碼之後發現隔了好一會(很反常)才成功登入


見鬼了，昨天從家裡連都可以，今天不知道為何不行


top看看現在在執行啥

top - 05:01:31 up 6 days, 2:09, 1 user, load average: 0.97, 0.96, 0.91
Tasks: 109 total, 2 running, 106 sleeping, 1 stopped, 0 zombie
Cpu(s): 5.0%us, 41.4%sy, 0.0%ni, 49.9%id, 0.0%wa, 0.0%hi, 3.7%si, 0.0%st
Mem: 896684k total, 675300k used, 221384k free, 167472k buffers
Swap: 4096564k total, 1764k used, 4094800k free, 313352k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
28605 test 25 0 1596 492 412 R 100 0.1 1:33.16 pscan2
2 root RT -5 0 0 0 S 0 0.0 0:09.97 migration/0
1 root 15 0 10324 688 580 S 0 0.1 0:00.63 init
3 root 34 19 0 0 0 S 0 0.0 0:04.65 ksoftirqd/0
.
.
.
以下略


又再度見鬼了，test是之前開來測試一下的

怎會有人用test這個帳號登入


我趕緊kill -9 掉這個 PID

再top一次發現這個程式又陰魂不散開始執行


我就userdel掉test這個帳號

結果再top一次

發現


top - 05:06:01 up 6 days, 2:13, 1 user, load average: 0.93, 0.97, 0.91
Tasks: 109 total, 2 running, 106 sleeping, 1 stopped, 0 zombie
Cpu(s): 5.5%us, 41.5%sy, 0.0%ni, 50.0%id, 0.0%wa, 0.0%hi, 3.0%si, 0.0%st
Mem: 896684k total, 695164k used, 201520k free, 167500k buffers
Swap: 4096564k total, 1764k used, 4094800k free, 313352k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
28427 512 25 0 1596 492 412 R 100 0.1 0:24.87 pscan2
28393 root 15 0 12584 1068 808 R 0 0.1 0:01.28 top
1 root 15 0 10324 688 580 S 0 0.1 0:00.63 init
2 root RT -5 0 0 0 S 0 0.0 0:10.01 migration/0
3 root 34 19 0 0 0 S 0 0.0 0:04.66 ksoftirqd/0
.
.
.


怎會出現512這個user阿!!!!!!

我從沒新增過這個user

在home底下也沒看到這個user

而且pscan2這個程式一直把CPU吃光光


有人知道這支程式是幹麻的嗎?

還是我主機被入侵了?


--