公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。记录一下临时处理记录。
安装busybox
由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox
,不然直接使用ps
或者top
是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin
下面。具体步骤不再赘述。
中毒表现
ps: 这台机器已经是第三次中毒了,第一次是khugepageds,第二次是在/tmp目录下有临时文件一直生成并执行,这次是有一个* **
进程在狂占CPU。手动杀掉之后过几秒就会自动拉起。
[root@test-03 proc]# busybox top
Mem: 6404212K used, 1607008K free, 403076K shrd, 32K buff, 801420K cached
CPU: 100.0% usr 0.0% sys 0.0% nic 100% idle 0.0% io 0.0% irq 0.0% sirq
Load average: 0.07 0.33 0.22 2/437 30215
PID PPID USER STAT VSZ %VSZ CPU %CPU COMMAND
31431 1 root S 76236 0.9 0 99.0 * **
14179 1 root S 6211m 79.1 0 0.0 /opt/atlassian/confluence/jre//bin/java -Djava.util.logging.config.file=/opt/atlassian/confluence/conf/logging.properties -Djava.util.logging.man
9817 9621 mysql S 2419m 30.8 2 0.0 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --log-error=/var/log/mysqld.log --pid-file=/var/run
9549 1 root S 664m 8.4 1 0.0 /usr/sbin/rsyslogd -n
9581 1 polkitd S 517m 6.5 1 0.0 /usr/lib/polkit-1/polkitd --no-debug
9548 1 root S 513m 6.5 1 0.0 /usr/sbin/NetworkManager --no-daemon
9557 1 root S 495m 6.3 1 0.0 /usr/sbin/libvirtd
14076 1 root S 403m 5.1 0 0.0 /usr/libexec/packagekitd
9547 1 root S 328m 4.1 0 0.0 /usr/sbin/ModemManager
14084 9848 root S 142m 1.8 2 0.0 sshd: root@pts/0
29658 9848 root S 142m 1.8 2 0.0 sshd: root@pts/1
1 0 root S 122m 1.5 2 0.0 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
14093 14084 root S 113m 1.4 2 0.0 -bash
29668 29658 root S 113m 1.4 0 0.0 -bash
9621 1 mysql S 110m 1.4 2 0.0 {mysqld_safe} /bin/sh /usr/bin/mysqld_safe
9540 1 root