今天突然发现服务器CPU跑满了
猜测应该有什么异常进程占用CPU,登陆服务器开始查杀。
一. 确认是哪个进程占用CPU
命令:top
确认是ld-linux-x86-64这个进程异常,google发现原来是挖矿木马
参考文章 https://cloud.tencent.com/developer/article/1798970
二. 确认目录的文件路径
命令:ll /proc/649,其中649是木马的进程id
三. 查看木马详情,可以省略这步
有cron.d自动启动等脚本
run脚本会联系远程ip来更新木马
四. 删除进程、删除木马
kill -9 649
rm -rf /mnt/.cache/*
五. 小结
该服务器存在弱口令问题,估计攻击者是破解了弱口令渗透入服务器植入木马。后续所有服务器都应该规避弱口令问题。
文章评论