一、

rc.local 被增加惡意命令

執行以下命令，檢視 rc.local 檔案。檔案主要作用啟動Linux中的服務。

cat /etc/rc.local

若輸出資訊為非業務或公告映象新增的命令，例如 wget xx 及 /tmp/xx 等，則雲伺服器已大概率被病毒入侵。

二、

crontab 被增加惡意任務

執行以下命令，列出目前的時程表。首先kill 陌生程序，然後刪除定時任務，禁止寫入。

crontab -l

若輸出資訊為非業務或公告映象新增的命令，例如 wget xx 及 /tmp/xx 等，則雲伺服器已大概率被病毒入侵。

三、

ld.so.preload 增加動態庫劫持

執行以下命令，檢視 /etc/ld.so.preload

cat /etc/ld.so.preload

若輸出資訊為非業務增加的動態庫，則雲伺服器已大概率被病毒入侵。

四、

sysctl.conf 配置大頁記憶體

執行以下命令，檢視大頁記憶體使用情況。

sysctl -a | grep "nr_hugepages "

若輸出非0，且業務自身程式並未使用大頁記憶體，則雲伺服器已大概率被病毒入侵。

解決方法：

1、最簡單有效的方法就是重灌
2、要查的話就是找到病毒檔案然後刪除；中毒之後一般機器cpu、記憶體使用率會比較高，機器向外發包等異常情況，排查方法簡單介紹下：
#top命令找到cpu使用率最高的程序，一般病毒檔案命名都比較亂
#可以用ps aux 找到病毒檔案位置
#rm -f 命令刪除病毒檔案
#檢查計劃任務、開機啟動項和病毒檔案目錄有無其他可以檔案等
3、由於即使刪除病毒檔案不排除有潛伏病毒，所以最好是把機器備份資料之後重灌一下。