CPU负载100%,但并看不到具体哪个进程导致的,?

  • 回答 (3)
  • 关注 (0)
  • 查看 (91)
活动执行wrl活动执行wrl提问于
鸿鹄认真生活 做出美好的产品 App/VR/美国市场回答于
推荐

回答来自于问答智囊团成员:何刚

专栏:https://cloud.tencent.com/developer/user/6827370

安全分析

1、隐藏进程

经过busybox核实到存在隐藏进程,百度核实为挖矿病毒

异常进程

2、crontab 存在异常任务

计划任务

下载链接已经失效,IP为海外。

链接下载

3、进程文件并不存在

文件不存在

明显该木马在运行成功后,会自动清理运行文件。

4、文件dump出来核实是否为木马

dump进程

Virustotal 中核实文件是否异常。https://www.virustotal.com/gui/

dump进程

5、/etc/ld.so.preload存在加载 /etc/ Iibsystem.so

dump进程

6、监控项核实

System监控中bot为近期配置的。

监控

通过配置可以发现是 kinsing的监控。

停止:systemctl disable bot

kinsing

Kinsing不可以用通配符查到。这个和system.so有关。

得到自己的登录的sshd,分析发现登录后就已经加载了libsystem.so

登录加载

所以在登录后,所有的操作都是libsystem.so让你看到的。

7、其它核实

1)、/etc/rc.d/rc.local

2)、/etc/rc.d/rc3.d/

3)、/root/.bashrc

4)、/etc/profile

5)、/etc/profile.d/

并没有发现其它异常点。

三、system.so核实

1、进程端口隐藏

隐藏函数

Libsystem中存在隐藏函数。

隐藏进程和端口

端口和进程都存在隐藏。

2、进程删除

进程删除

四、清理方法

1、清理

#清理 crontab >/var/spool/cron/root # 清理 /etc/hosts sed -i -e "s/172.17.32.9 gmcq.361yx.cn//g" /etc/hosts #解除加载异常动态库 > /etc/ld.so.preload #删除异常动态库 rm -fr /etc/libsystem.so #清除木马病毒 rm -fr /etc/kinsing && touch /etc/kinsing && chattr +ia /etc/kinsing rm -fr /tmp/kdevtmpfsi && touch /tmp/kdevtmpfsi && chattr +ia /tmp/kdevtmpfsi #删除服务项目并中止进程 systemctl disable bot.service systemctl stop bot.service #再次清理 ps aux |grep kinsing|awk '{print $2}'|xargs kill -9 ps aux |grep kdevtmpfsi |awk '{print $2}'|xargs kill -9

#清理完成后,建议立即重启。

2、验证

重新登录,核实已经没有加载libsystem.so了。

验证

五、溯源分析

通过分析web日志,存在Webshell请求。

六、加固建议

1、WEB域名加入WAF防护

2、安全组仅放通80端口,并禁止其它端口对外

程序员小涛

成都恒视通信息科技有限公司 · 软件开发工程师 (已认证)

勤奋的coder回答于

应该就是类似挖矿的恶意程序,建议对系统进行一次全面的检测

魏艾斯博客www.vpsss.net分享服务器运维知识,wordpress知识,服务器优惠券回答于

之前回答问题的大神这个路子,一般人没这个功力啊,搞不定的。

根据我的个人经验,建议你下载网站日志来分析一下。

既然你能提出这个问题说明是新手,没有什么经验。你看下CPU 100%的时候的具体时间,精确到秒,然后去网站日志中查看对应时间,是哪些IP 访问,都做了些什么动作。

如果说发现日志中一秒钟或几秒钟会频繁访问(同一IP段)网站,那么猜测是被攻击了,一般属于CC攻击。

如果你看到日志中这些IP端属于 XX搜索引擎,这不一定是真的蜘蛛,有好多是假冒的。具体过程请看什么是网站日志_如何分析网站日志_发现恶意IP如何屏蔽拉黑

这里面是我帮人分析网站日志,也是CPU满载了,持续性的。然后最后查出是被CC攻击了,以及采取的办法。

希望对你有用。

扫码关注云+社区

领取腾讯云代金券