問(wèn)題現(xiàn)象:

• CPU的使用率一直100%
• 服務(wù)器卡頓，無(wú)法正常使用

疑似原因:

• 系統(tǒng)密碼較弱被破解
• 安裝的程序有漏洞被不法分子利用
• 等等

排查步驟:

• 使用top命令觀察占用cpu程序的PID（注：惡意程序的名稱千奇百怪）?

  創(chuàng)新互聯(lián)專注于貢覺(jué)企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城網(wǎng)站開(kāi)發(fā)。貢覺(jué)網(wǎng)站建設(shè)公司,為貢覺(jué)等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

  

• 通過(guò)PID查看該程序所在的目錄：ls /proc/XXX/

  

• ? 執(zhí)行l(wèi)l /proc/14202 查看該程序運(yùn)行的目錄

  

• 進(jìn)入該目錄并進(jìn)行查看都有哪些文件?

  

  

• 將這些文件的權(quán)限全部修改成000，使這些程序無(wú)法繼續(xù)執(zhí)行：chmod 000 -R *?

  

• ? 以上基本可以找出惡意程序所在的目錄了，接著我們將該程序kill 掉即可?

  

• 持續(xù)觀察即可（該示例通過(guò)觀察30min，該惡意程序繼續(xù)沒(méi)有再執(zhí)行）?

  

  補(bǔ)充：

• 建議執(zhí)行crontab -l 查看是否有可疑計(jì)劃任務(wù)在執(zhí)行，如有請(qǐng)及時(shí)刪除（crontab -r）

• 通過(guò)上面的排查步驟我們可以看到cron程序是運(yùn)行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執(zhí)行：chmod 000 -R * 將所有惡意程序的權(quán)限清除

• 一般來(lái)講通過(guò)以上步驟可以將惡意程序干掉，但不排除不法分子還留有其他后門(mén)程序，為了避免類似情況發(fā)生，建議保存重要數(shù)據(jù)后重裝操作系統(tǒng)

• 后續(xù)請(qǐng)對(duì)服務(wù)器做安全加固，以免再次被入侵，比如更改默認(rèn)遠(yuǎn)程端口、配置防火墻規(guī)則、設(shè)置復(fù)雜度較高的密碼等方法

作者：董雙磊

• 滴滴云全線標(biāo)準(zhǔn)型云服務(wù)器限時(shí)特惠,注冊(cè)即送新手大禮包
• 新購(gòu)云服務(wù)1月5折 3月4折 6月低至3折
• 滴滴云使者招募，推薦最高返傭50%

網(wǎng)頁(yè)題目：分享一次服務(wù)器被挖礦的處理方法-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://chinadenli.net/article28/dhchcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、服務(wù)器托管、品牌網(wǎng)站制作、定制開(kāi)發(fā)、標(biāo)簽優(yōu)化、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)