记一次被恶意挖矿程序占满linux服务器cpu的经历
前奏一天,小编发现自己的买的百度云的服务器变的非常卡,本来就是活动机1c2g;这要找原因啊,敲一个`ll`命令,都要卡几秒钟,明显服务器的cpu在干其他的事,使用top命令,果不其然,真的是在服务器弱小的配置承担了它不应该抗的恶霸程序,接下来找问题:服务器cpu居高不下,跳都不跳;内存也差不多了,服务器上只有代理了一个静态网站和测试玩的mysql通过百度云控制台查看时间,什么时...
前奏
一天,小编发现自己的买的百度云的服务器变的非常卡,本来就是活动机1c2g;
这要找原因啊,敲一个`ll`命令,都要卡几秒钟,明显服务器的cpu在干其他的事,使用top命令,果不其然,真的是在服务器弱小的配置承担了它不应该抗的恶霸程序,接下来找问题:
服务器cpu居高不下,跳都不跳;内存也差不多了,服务器上只有代理了一个静态网站和测试玩的mysql
通过百度云控制台查看时间,什么时候发生的
接下来,这肯定有定时任务啊,这主要是在top命名里面,我看到占用cpu最多的并始终保持在98%以上的程序是cron,那就找呗
crontab -e #这个定时脚本里面一般恶意脚本不会在这里
cd /var/spool/cron #有很多脚本都会在这里
果然是在/var/spool/cron下面,有一个仿造的mysql文件
在这个里面发现了定时脚本
* * * * * /home/mysql/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /home/mysql/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/mysql/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /home/mysql/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X21-unix/.rsync/c/aptitude>/dev/null 2>&1
确定好位置之后,挨个看它们还有没有引用其他的程序,然后全部删除
将cron所占的pid kill掉,接下来应该没问题了
果然cpu正常了
内存正常了,内外的宽带占用也正常了
最后,我还得把这台服务器的密码全部改了,将mysql的用户密码也改了,告一段落,安装superset真费劲。
更多推荐
所有评论(0)