这两天发现部署在阿里云上的ECS服务器的CPU一直占用100%,一开始以为只是偶然的,没在意。
后面发现CPU一直满载,这不应该呀。于是赶紧看看是怎么回事。
使用 top 命令查看cpu使用情况:
发现有一个 vTtHH1 的进程占用 200%的cpu,这是什么鬼,貌似哥不曾相识啊。
于是乎,通过命令 :cd /proc/32676 -> ll 查看这到底是什么玩意,发现这是在 /tmp 目录下的一个 exe可执行文件。
好。把它kill -9 掉,再删了源文件,发现CPU降下来了,顿时感觉 so easy。收工。可半个小时回来看,咦,这怎么又出现了。不是已经删除了吗?于是又重复了刚刚的动作,这把没有马上离开,观察一下,十秒以后,进程再次出现。这把意识到,可能是中了木马了。
通过命令:iftop -PB 命令查看网络使用情况。把vTtHH1这个文件删除,发现某个进程出现下载操作。
查找该进程是什么鬼,发现是另一个可执行文件:
命令 cd /proc/pid ll
把它kill 掉。再删除刚刚的vTtHH1文件,问题解决