服务器操作系统:Centos7 AliYun VPS
问题发现:
阿里云报警。说有一个进程正在和恶意IP通信。
问题排查:
运行top命令,查看进程,发现有一个进程占用了200%的CPU,按c键可以查看到进程原始命令及参数,我的服务器是4核的,他用了两核,还挺小心的,可惜,还是被阿里云的监控发现了。
image-20191207004744681.png
看看这个进程是哪个进程运行起来的:
[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep xmno32
4 S 0 16453 16443 99 65 -15 - 738595 ep_pol pts/0 1-13:32:23 xmno32
看第4列,这是xmno32这个进程的PID,再看第5列,这个就是运行xmno32进程的父进程ID,称为PPID,依照此法,继续往上找。
[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep 16443
0 S 0 16443 11897 0 80 0 - 2922 do_wai pts/0 00:00:00 sh
4 S 0 16453 16443 99 65 -15 - 738595 ep_pol pts/0 1-13:34:01 xmno32
[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep 11897
0 S 0 11897 1 8 80 0 - 1405469 futex_ pts/0 02:16:53 java
0 S 0 16443 11897 0 80 0 - 2922 do_wai pts/0 00:00:00 sh
一直向上追查,直到看到了一个自己认识的进程名称:java,看来是通过某个B/S应用进来的,看看是哪个应用:
[root@iz2zeeet5ppvarljlip39oz ~]# ps -ef |grep 11897
root 11897 1 8 Dec05 pts/0 02:16:54 /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.171-8.b10.el7_5.x86_64/jre/bin/java -server -Dinstall4j.jvmDir=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.171-8.b10.el7_5.x86_64/jre -Dexe4j.moduleName=/user/app/nexus-3.11.0-01/bin/nexus
......
嗯,看来是通过nexus漏洞进来的.
网友评论