最近测试服务器与正式服务器接连中了挖矿病毒,
导致 linux 服务器 CPU占用率100%,白给人打了好几天工。
记录一下解决问题的操作流程
一共遇到两种情况,查看相关文章并且成功解决
两次问题的情况不太一样,分别说明
-
top命令 查询进程状态,查找 %CPU 占用最高的程序 并记录PID -
ps -ef | grep [进程名]记录下文件位置
3.这种程序要么包含定时任务会自动启动,要么包含守护进程,
【情况一】:有定时任务
这种情况 发现了进程目录,进到目录删掉程序的时候会发现 1~3秒之后文件又回来了.
1.) 直接查定时任务crontab -l并找到相关任务
2.) 直接取消任务crontan -r
3.) 然后cd到第二步记录下的文件位置
4.) 执行命令rm -f *删除文件
5.) 执行命令kill -9 [pid]杀死进程
6.) top 查看进程情况
【情况二】:病毒程序有守护进程
这种情况 发现了进程目录,进到目录删掉程序的时候会发现 文件不会再出现,但是当你使用命令
kill -9 [pid]的时候就会发现,文件又出现了.
1.)systemctl status [pid]查询
2.) 找到 CGroup 的进程 挨个杀死 (kill -9 [pid])
3.)cd到第二步记录下的文件位置
4.) 执行命令rm -f *删除文件
5.) 执行命令kill -9 [pid]杀死进程
6.) top 查看进程情况
服务器遇到这两次中挖矿病毒事件暂时是解决了。从事移动端,并非运维,都是查各种资料看的。至于后期应该怎么避免再次遭受攻击.再学习研究. 改BUG去了.
网友评论