转载 syst3md 挖矿病毒处理记录_zhangjianming2018的博客-CSDN博客
这两天发现服务器上部署的应用系统 体验较差,访问响应慢 不太对劲。部分接口响应达到了 4秒。正好空闲上服务器上检查一下性能。
[root@localhost ~]# mpstat -P ALL 10
Linux 3.10.0-957.el7.x86_64 (localhost.localdomain) 2022年01月28日 _x86_64_ (20 CPU)
16时27分10秒 CPU %usr %nice %sys %iowait %irq %soft %steal %guest %gnice %idle
16时27分20秒 all 99.97 0.00 0.02 0.00 0.00 0.01 0.00 0.00 0.00 0.00
16时27分20秒 0 99.60 0.00 0.30 0.00 0.00 0.10 0.00 0.00 0.00 0.00
16时27分20秒 1 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 2 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 3 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 4 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 5 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 6 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 7 99.90 0.00 0.00 0.00 0.00 0.10 0.00 0.00 0.00 0.00
16时27分20秒 8 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 9 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 10 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 11 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 12 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 13 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 14 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 15 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 16 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 17 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
16时27分20秒 18 99.80 0.00 0.10 0.00 0.00 0.10 0.00 0.00 0.00 0.00
16时27分20秒 19 100.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
20核CPU 全部被消耗爆表! 有个叫syst3md的进程,占用了1986%的cpu,合理怀疑这个就是病毒。 不得不说这个病毒非常霸道,明显的挖矿病毒。但面对这么狠的CPU 占用,服务器还能顽强的支撑到 没有宕机,服务也没有挂掉,我只能竖起大拇指了! 接下来开始处理!
一、查看定时任务,正常的。并没有其他恶意的写入
[root@localhost ~]# crontab -l
#每天凌晨30执行 清理docker日志
30 0 * * * /home/docker/clear_docker_containers_log.sh
[root@localhost ~]#
二、通过syst3md的进程号21308查找其运行位置
三、找到病毒文件所在位置,删除病毒文件。同时发现是 1月27日 6:55分被攻击植入了系统
[root@localhost ...]# pwd
/tmp/...
[root@localhost ...]# ll
总用量 13464
-rwxr-xr-x. 1 reader reader 7982000 1月 27 06:55 syst3md
-rwxr-xr-x. 1 reader reader 5803944 1月 27 06:55 syst3mdaa
[root@localhost ...]# rm -rf ./*
[root@localhost ...]# ll
总用量 0
四、杀掉进程
[root@localhost /]# ^C
[root@localhost /]# kill -9 21308
[root@localhost /]# top
top - 16:40:52 up 16 days, 6:22, 1 user, load average: 22.16, 27.27, 28.12
Tasks: 348 total, 1 running, 347 sleeping, 0 stopped, 0 zombie
%Cpu(s): 0.2 us, 0.1 sy, 0.0 ni, 99.6 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 32778152 total, 14189736 free, 14457136 used, 4131280 buff/cache
KiB Swap: 8257532 total, 8257532 free, 0 used. 17530916 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8280 root 20 0 3222468 887480 10232 S 0.7 2.7 19:28.54 java
8991 root 20 0 2548736 581080 10244 S 0.7 1.8 18:27.17 java
10676 root 20 0 3216060 978672 10236 S 0.7 3.0 19:28.55 java
11924 root 20 0 2573388 647732 10836 S 0.7 2.0 19:53.03 java
12532 root 20 0 2553676 652108 10244 S 0.7 2.0 18:48.18 java
13203 root 20 0 2523780 645980 9584 S 0.7 2.0 18:46.80 java
14387 root 20 0 2539136 672664 10240 S 0.7 2.1 19:17.82 java
15436 root 20 0 2538812 644924 10244 S 0.7 2.0 18:52.63 java
18281 root 20 0 3269588 859732 10132 S 0.7 2.6 20:12.23 java
31768 root 20 0 2565700 751512 10360 S 0.7 2.3 22:37.86 java
此时再去访问系统,响应非常迅速了!达到毫秒级别了