伺服器cpu飆高-挖礦木馬解決方案記錄
阿新 • • 發佈:2019-02-14
起因:前幾天,開發伺服器的Jenkins服務一直會出現偶然性的失敗,編譯程式碼的執行緒經常性被kill掉,需要啟動好幾次才有機會成功。給開發帶來諸多不便。受不了啦,於是在一個午飯時間,決定要徹底搞清楚這個問題。
解決問題
首先使用top命令,檢視cpu佔用。不看不知道啊,看了嚇一跳!cpu佔用一直在98-100%之間,但是卻看不到佔用大量記憶體的程序,此時感覺到問題應該是被木馬入侵了。
於是crontab-l看了一下,果然有一個沒見過的定時任務。
憑直覺,在搜尋了下1NtRkBc3,果不其然,我並不是天選之子啊。趕緊看看前人的處理方式,總結如下:
1.刪除掉上面的定時任務
2.刪除掉以下檔案
/etc/cron*
/var/spool/cron/root
/usr/local/lib/libdns.so
/etc/ld.so.preload
/bin/dns
/usr/sbin/netdns
/etc/init.d/netdns( /etc/rc.d/init.d/netdns)
/tmp目錄下的陌生檔案
3.再使用top命令,找到佔用大量程序的程序,並kill掉
注:刪檔案之前,保險起見可以先做一下備份,避免出現誤刪
一定要將檔案都刪除趕緊之後再刪除程序,因為程序有做相互喚醒,先除根再掃葉
本次出現被挖礦木馬植入的原因,應該是前段時間redis的埠有對外網放開過,大家一定要記得redis埠僅內外訪問或者做加固,不然費力有費心,還費電!