今天发现腾讯云服务器突然卡顿了,记录下遇到的问题。
执行命令top查看资源使用情况,好家伙,kswapd0,这个是什么玩意,把cpu都用光了
top
1.png
百度查了下,这个好像是木马?
二话不说,先杀掉这个进程,再命令查看。
kill -9 进程ip
top
2.png
cpu正常了,系统也马上流畅了,然后开始看看刚才的kswapd0进程是什么东西引起的。
先用last命令看最近登录过的ip,第一个是我刚登录的,上一个3.10.0-1127.19.1比较可疑
last
3.png
检查恶意进程及非法端口
netstat -antp
4.png
14.152.49.146的是我机器,YDService查了是腾讯云安全防护,查到ip:45.9.148.99来自荷兰,肯定是有问题了,查了资料,这。。。这是挖矿木马程序!查看下 pid 所对应的进程文件路径。
ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的 pid 号)
5.png
kill掉perl的pid,然后去到对应目录删除有关文件。
再查一次kswapd0是否还有文件
find / -name kswapd0
image.png
发现在root/.configrc/a/kswapd0还有一个木马文件,要把.configrc这个文夹删掉(这步很重要,不然木马会再次启动)。
然后后查看是否有定时任务
cat /etc/passwd | grep 'bash' | cut -f 1 -d : | xargs -I {} crontab -l -u {}
7.png
有几个可疑的定时任务,都清理了
crontab -r -u root
然后看下开机启动项是有没可疑启动项
chkconfig --list
6.png
最后修改了下服务器的登录密码,到这里才放心一些。
然后查了相关资料,可能链接里面的原因引起的,里面也有相应的安全建议。
阿里云威胁快报:https://developer.aliyun.com/article/741602
忘命徒木马:http://app.myzaker.com/news/article.php?pk=5efec2d78e9f094e2a70b242
网友评论