首页
学习
活动
专区
工具
TVP
发布

Linux操作系统下,CPU飙升,你要注意有可能被挖矿程序占用了

有一段时间服务器变的很卡,网站无法登陆,我以为是网站没打开,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。

一、找出病毒

当发现服务器卡的时候,我们可以采用top命令,如下显示

我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢?

1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。

2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程,

3、每个进程的cpu占用都比较小,平均差不多20%个cpu,可是这么多进程加起来,CPU占用就爆炸了,将近100%了

从上面这个地方可以发现这个攻击者很聪明,懂得用这种名称来混淆我们的视野

二、确认病毒

从上面的top命令知道了这几个占用比较大的进程号,我们可以根据其中的某个进程,比如7081入手,来查找其他关联的进程,使用以下命令,如下图所示

进入到/etc目录下,

我们可以看到有sysupdate、networkservice、sysguard三个文件,这三个文件都是二进制文件,这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件,这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢,其实是通过定时程序里面的cron找出来的。

再进入到 /var/spool/cron看下定时程序

如下图所示

可以看到这几个文件名称,和刚刚占用cpu高的进程user,名称是一样的

这样就可以确认的确是病毒攻击了服务器

三、解决

1、删除定时程序

rm -rf apacherm -rf nobodyrm -rf rootrm -rf www

2、杀掉进程,并删除文件

以下这几张图片的进程id,分别进行kill杀掉

然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件

这时候,你可能会发现无法删除,因为病毒使用了chattr +i 命令,使用如下命令即可删除

chattr -i sysupdaterm -rf sysupdate

每个无法删除的文件,都执行如上命令,即可实现删除文件

3、/root/.ssh/authorized_keys 删除

可能攻击者已经在这里配置了登陆,攻击者可以随便登陆你的服务器,你这里要把秘钥也修改下

经过这些处理后,可以发现我们的服务器已经不再卡了,如下,没有占用高的程序了

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200405A04H0300?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券