挖矿病毒xmrig
xmrig处理 CSDN上很多,此处引用“xixiyuguang”的文章
入侵后排查
- top 查看内存 和 cpu ->指向启动进程,kill掉
- 删除定时任务
- 查看新加用户,删除ssh后门
- 查看命令操作history
清除完毕后,重启服务仍发现内存过高,与正常不同。但是cpu已经正常,也没有Tcp连接外部服务器。
top命令发现内存数值不相等
free -m 查看内存详情也是占用过高
猜测是进来之后提权修改了系统配置文件。
看下大页内存有没预留:
可以用以下命令看下:
cat /proc/meminfo |grep -i huge
其中 HugePages_Total*Hugepagesize 就是了。
如果不需要预留这么多的话,可以修改 /etc/sysctl.conf 文件里面的vm.nr_hugepages的值,修改预留大页的个数,然后 sysctl -p 生效下,再看下内存是否释放出来了
root@root:~# cat /proc/meminfo |grep -i huge
AnonHugePages: 811008 kB
HugePages_Total: 1170
HugePages_Free: 1170
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 2048 kB
配置“大页内存“
将如下内容添加到/etc/sysctl.conf中
vm.nr_hugepages = 0
然后执行sysctl -p命令重新加载配置
[root@develop ~]# sysctl -p
vm.nr_hugepages = 100
[root@develop ~]# grep Huge /proc/meminfo
AnonHugePages: 14336 kB
HugePages_Total: 0
HugePages_Free: 0
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 2048 kB
修改完查看监控已经降下来了。