sshd占用cpu过高,并且crontab定时任务无法修改解决方案
通过top命令查看到sshd的进程几乎占满linux机器的cpu,忘记截图了。这是中了挖矿病毒了,并且会持续运行,就算杀掉进程也会再次运行。
操作前先kill掉sshd进程
并且crontab中存在定时任务,cat /etc/crontab
.
并且/var/tmp文件下存放着病毒文件,建议立马删除
这些都是上面定时任务下载的病毒文件:
/var/tmp/tmp.lock
/var/tmp/sshd
/var/tmp/config.json
/var/tmp/vm.lock
本想通过删除/etc/crontab中定时任务能解决,但是删除后无法保存文件
使用lsattr /etc/crontab
查看发现文件属性被修改了,多了ia
----ia-------e-- /etc/crontab
使用chattr -iRa /etc/crontab命令去掉文件的隐藏属性
再次查看lsattr /etc/crontab
-------------e-- /etc/crontab
这样就正常了,我们可以vim进去删除定时任务了,能正常保存。
还有问题就是使用crontab -e
命令修改后无效,定时任务还是存在。
crontab -e修改的是当前用户的定时任务,进入/var/spool/cron/
查看用户定时任务,我的只有root用户下被设置了,如果有多个用户建议每个都查看
同样也是被修改了文件属性,我们继续上面的chattr -iRa /var/spool/cron/root操作后再执行crontab -e或者直接vim文件即可修改保存,删掉定时任务。
此病毒不仅这两处设置定时任务,/etc/cron.d/ 下也有,建议查看所有定时任务配置文件,下面的文件夹都进去检查下。
/etc/cron.d/
下root文件也是同样操作chattr -iRa去除ia属性
清理完所有定时任务后,并且病毒文件都删除了,这才算清理完成了。