先备份一下之前的快照,保留备用
通过TOP命令查看进程
发现PID:31961的.libs进程异常,查他的进程详细信息
[root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib
tcp 0 0 172.18.4.104:51562 107.172.214.23:80 ESTABLISHED 31961/.libs
发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止记录
杀掉进程
kill -9 31961
检查定时任务,有异常,直接删掉
crontab -e
先查定时器,执行crontab -e,删掉对应的命令,
再查/etc/cron.d/,/var/spool/cron/,/etc/cron.hourly/oanacroner1, /var/spool/cron/crontabs/下面的文件,全删(当然如果有自己项目的定时命令,自己注意分辨)。
再查/etc/ld.so.preload,发觉删不掉?执行下命令chattr -ai /etc/ld.so.preload,再删除
查/usr/local/lib/的.inis,.inid,.libd,.libs(可以打开文件确认下),删不掉,请按照上一步步骤(chattr -ai file)
然后再修改root密码
passwd root
观察一段时间,如果进程还是会复现,最好的方式就是还原快照