服务器被挖矿进程占用cpu无法正常使用解决

2021-06-07 14:55:32 浏览2349次 作者: 李狗蛋

收藏

服务器被挖矿进程植入后,我的解决方法:

1.top命令,查看占用cpu找过100%的进程.

2.找到这个进程的进程id,此时不要kill,因为杀不死,先找到这个进程所在的位置,方法如下:    ls -l /proc/进程ID/exe

3.此刻我们知道这个进程所在位置了,比如是/tmp/mysqldd   看出来了么,和mysqld很像,这是伪装的,继续探究这个文件在哪里

4.find / -name *mysqldd*    找到他的路径,此刻就不慌了

5.找到对应位置,删除即可.虽然上述步骤4中得到地址不能直接rm -rf  但是可以cd 配合tab键,挖到它藏身的最底层,然后在删除所在的整个进程文件夹

补充:值得注意的是,这些进程伪装的都很隐秘,名字也很奇葩,比如:mysqld\aliyunDun\httpdd等,正常进程都不会占到太多cpu,更别说100%甚至200%了,而且这些进程都有守护进程,单纯的kill是杀不死的,因为都很机智的隐藏到系统程序模块里面.

阿里云官网介绍:

被隐藏的恶意模块一般有:raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用 file /lib/udev/usb_control/恶意模块名,分别检查是否存在以上模块。找到了立马清除杀死它就行了.

当您发现内容错误或代码bug,以及下载链接无法使用等,请点击屏幕右下角的上报错误来进行提交,我们会尽快修正。
本程序所有源码和工具完全免费,当本网站内容如果侵犯了您的权益,请联系我们,我们会尽快处理,感谢您的合作。

收藏 分享

相关文章

评论:

文明上网理性发言,请遵守 新闻评论服务协议

雨寒

2021-08-21 09:27:43

(0) 回复

上报错误