前言
【sysv-processor-】应该是个新的病毒,虽然目前已经解决了,其实有凑巧得成分在其中,仅供参考。
异常表现
服务器得cpu占用率突然很高:
分析&排查步骤
- 通过进程号查看源文件地址:
其实看到这个进程得源文件地址是tmp下,就更加确定这就是个病毒了。而这个用户看着像是docker自己自动创建得用户,也没有多想。 - 尝试杀死:kill -9
用kill -9 可以杀掉进程,但是又重新启动起来了,说明又其他进程存在,在表面上得进程被杀死之后,其他进程又会把他重新启动起来。 - 杀掉之后重新拉起
这样尝试了多次之后,便放弃了,大概看了下top输出得进程名称都差不多正常得,怀疑可能存在隐藏进程。 - 排查是否存在隐藏进程
这里需要用到一个工具–unhide,该工具是可以发现隐藏得进程,安装方式:
需要安装linux 扩展包,先执行, yum install -y epel-release:
安装unhide工具包,记住是unhide,不是hidetool:
执行命令:unhide proc,没有发现隐藏进程。说明这些进程没有被隐藏掉,而挂了羊头卖了狗肉。 - 尝试关闭假的进程
重洗审视top输出得内容,发现几个异常得进程,mysqld和redis-server,
为什么前边说排查是侥幸呢,而且怎么看出来mysqld和redis-server是假的进程呢,因为服务器是我自己部署得,mysql和redis我都是用docker启动得,所以,我去查了docker得进程之后,发现都在正常运行:
于是kill掉这两个cpu就正常了。
但实际上依然没有解决,网络上对于这个新病毒也没有相关得信息。。