经过上次的处理我还以为万事大吉了,后来发现自己还是太年轻。。。每天凌晨的短信和邮件还是准时到达,警报信息显示有进程和矿池通信。好吧,接着搞。
阿里云警报里提供了和矿池通信的进程号,矿池Ip和完整的文件名。我尝试使用ps top命令查但是根本不显示该该进程,按照警报提供的文件名使用find ls ll等命令也找不到文件,使用netstat -an也不显示警报里提供的矿池ip。
我尝试将该文件名/usr/bin/pamdicks输入百度的查询框,并不抱希望的按下了回车键。还好度娘没有让我失望,这篇文章展现在我眼前。度娘,我中意你嘞!
按照文中的步骤,先使用ls -hal /usr/bin/pamdicks 可以发现文件的确是存在的,先rm掉。
接着下载安装sysdig,想了解sysdig可以查看这篇文章。安装过程中可能显示ERROR,但是不用管,让他自己处理。安装完成后使用sysdig命令可能还是会显示ERROR,not load等信息,输入/usr/bin/sysdig-probe-loader命令加载模块,然后sysdig就能正常使用了。
输入命令sysdig -c topprocs_cpu,回车。天啊,我可算找到你了。
pamdicks.png
这两天使用xshell时,输入命令都卡,当时我也感觉是还有病毒进程,但是根据找不到,只好归咎于阿里云做了cpu限制。。果然还是要相信直觉啊。
使用kill -9 pid杀掉进程,瞬间就天亮了。好哒,我又可以去玩耍我的redis集群了。
网友评论