环境:centos7.6
挖矿进程:rabiit
1、先关闭无用对外端口
(例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户
2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务
crontab -e
/var/spool/cron/
/etc/crontab
/etc/cron.d
/etc/cron.daily
/etc/cron.houly
/etc/cron.mouthly
/etc/cron.weekly
systemctl stop crond.service 先暂停定时任务,等处理完再开启
3、首先top查看系统进程情况,观察CPU或者内存占用多的进程
ps -ef|grep PID 查看可疑进程的启动位置
netstat -anp|grep PID 查看可疑进程的网络连接情况
4、根据前面2和3收集的可疑文件位置,进入可疑文件夹
查看里面可能启动的文件,分别查看对应的进程情况
5、关闭对应的进程
kill -9 PID
6、根据可疑文件的名称,在/下进行搜索,找到并删除可疑文件夹(不放心的可以先找个地方备份一下)
例如:find / -name '*dbus*'
7、查看/root/bash_profile文件里面是否存在可疑执行语句,如果有,则清除掉
查看 /etc/ld.so.preload文件是否存在可疑启动项目,如果有,则清除掉
查看
8、查看启动项/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/ 如果存在可疑启动脚本,则删除
9、对 /etc文件进行加锁
chattr +i /etc
额外说明
libc2.28.so
在系统运行的过程中,发现CPU有几个内核一直100%,用top查看,看不到有任何进程占用大量CPU,一直没找到原因。
一次偶然的机会,在搜索.so文件的时候,发现系统里面有一个可疑文件/usr/local/lib/libc2.28.so,就删除了这个文件。
其实这个文件在第7步的/etc/ld.so.preload文件里面就可以看到加载,只是之前一直没在意这个文件,所以一直没发现。
之后在top就看见有个dbus的异常进程占用了400%的CPU,好家伙,隐藏得够深的,将目标文件删除后,直接kill掉该进程,系统CPU使用情况恢复正常。