centos 一次挖矿程序排查

2020/03/12 23:29
阅读数 2.6K

系统状态

  • CPU满负荷运转达到100%
  • TOP查看进程可查看到顶部一个进程CPU消耗800%
  • 进程kill掉立刻重启
  • 通过PS命令可以查看到进程启动位置,但是无法删除

查询异常进程

  • 我的进程命名为bash64,守护进程命名为bash,和系统的bash进程很相似,所以排查时候一直以为查找的是错误的
  • 根据查询到的进程PID,使用PS名称查询到进程的具体位置,查询到的位置是一个隐藏文件夹【.tmp00】,在root目录下,可以使用名称 ls -la 查询出隐藏文件夹
  • 查询网上资料参考文章:https://my.oschina.net/u/3473218/blog/3013593
  • 查看系统定时任务 `

进入到定时任务目录

cd /var/spool/cron/

查看定时任务信息

more root `

  • 查看到有一个默认定时任务一直在执行,定时任务无法删除,删除后文件会自动重新写入,无法修改,怀疑定时任务有默认执行脚本
  • 使用systemctl stop crond 命令停止定时任务
  • kill掉进程及守护进程
  • 在进入到root目录下删除.tmp00 文件夹,这个时候会发现可以删除
  • 删除定时任务,进入到定时任务目录

到此本次排查结束,当前系统暂时没有收到影像,留待继续观察

展开阅读全文
加载中

作者的其它热门文章

打赏
1
0 收藏
分享
打赏
0 评论
0 收藏
1
分享
返回顶部
顶部