問題現(xiàn)象:

• CPU的使用率一直100%
• 服務(wù)器卡頓，無法正常使用

疑似原因:

• 系統(tǒng)密碼較弱被破解
• 安裝的程序有漏洞被不法分子利用
• 等等

排查步驟:

• 使用top命令觀察占用cpu程序的PID（注：惡意程序的名稱千奇百怪）?

  創(chuàng)新互聯(lián)專注于貢覺企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城網(wǎng)站開發(fā)。貢覺網(wǎng)站建設(shè)公司,為貢覺等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

  

• 通過PID查看該程序所在的目錄：ls /proc/XXX/

  

• ? 執(zhí)行l(wèi)l /proc/14202 查看該程序運(yùn)行的目錄

  

• 進(jìn)入該目錄并進(jìn)行查看都有哪些文件?

  

  

• 將這些文件的權(quán)限全部修改成000，使這些程序無法繼續(xù)執(zhí)行：chmod 000 -R *?

  

• ? 以上基本可以找出惡意程序所在的目錄了，接著我們將該程序kill 掉即可?

  

• 持續(xù)觀察即可（該示例通過觀察30min，該惡意程序繼續(xù)沒有再執(zhí)行）?

  

  補(bǔ)充：

• 建議執(zhí)行crontab -l 查看是否有可疑計(jì)劃任務(wù)在執(zhí)行，如有請(qǐng)及時(shí)刪除（crontab -r）

• 通過上面的排查步驟我們可以看到cron程序是運(yùn)行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執(zhí)行：chmod 000 -R * 將所有惡意程序的權(quán)限清除

• 一般來講通過以上步驟可以將惡意程序干掉，但不排除不法分子還留有其他后門程序，為了避免類似情況發(fā)生，建議保存重要數(shù)據(jù)后重裝操作系統(tǒng)

• 后續(xù)請(qǐng)對(duì)服務(wù)器做安全加固，以免再次被入侵，比如更改默認(rèn)遠(yuǎn)程端口、配置防火墻規(guī)則、設(shè)置復(fù)雜度較高的密碼等方法

作者：董雙磊

• 滴滴云全線標(biāo)準(zhǔn)型云服務(wù)器限時(shí)特惠,注冊(cè)即送新手大禮包
• 新購(gòu)云服務(wù)1月5折 3月4折 6月低至3折
• 滴滴云使者招募，推薦最高返傭50%