本文描述了一次服务器遭受病毒入侵的经历,作者通过分析安全告警、检查子进程、利用ps命令和kill命令,发现病毒隐藏在关闭的端口和父进程文件中。删除相关文件后,服务器恢复正常。关键教训是关注控制台详细信息并及时处理风险。
服务器被病毒入侵(第二弹)
1.预告
继上次处理过后,我发现服务器的内存占有率仍然很高,通过命令行输入命令还是很卡,当时实在找不到原因,今天早上起来,我到服务器查看,发现有N条安全告警,于是我打开了详情信息。
2.分析详情信息
发现我们服务器的父进程17343这玩意在干坏事,于是:
1.查看子进程28194和父进程17343在干什么?
#使用ps命令检查sshd进程的详细信息
ps -p 28194 -o cmd
#打印结果是下面一行,说明没有启动该进程
CMD
#执行杀死病毒的命令
sudo kill -9 <PID>
kill的时候发现没有这个进程,非常的狡猾!!!
正是因为我们关闭了2375端口,所以子进程没有创建成功,于是我们顺势将父进程文件给删除掉。
sudo rm -rf /proc/31682/root/usr/bin/cloud
2.奇迹发生
删除父进程的文件之后,服务器不卡了,访问项目也快了!!!
要学会看漏掉的详细信息!!!不会的可以利用chatgpt来看!!!
3.收获
服务器病毒查杀的头绪:
1.查看服务器控制台捕捉到的风险详细信息
2.分析信息
3.作出对应处理
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
