1、事件原因
当天发现服务器访问速度异常缓慢,通过top命令查看系统资源使用情况,发现名为systemd-mont(可能是一个误写或自定义的进程名)的两个异常线程占用了大量的CPU资源,几乎导致CPU满载。
2、查找问题
为了确定这两个异常线程的来源,使用ps -ef | grep "systemd-mont"命令查找该线程所属的程序。找到后,尝试使用kill命令结束这些线程,并删除相关的执行文件。
3、问题重现
在删除执行文件后不久,发现systemd-mon线程再次出现,并且之前的systemd-mont文件也恢复了。这表明有某种机制在自动恢复这个文件。
查找自启动服务
因为kill -9杀掉进程之后会立即重启,使用systemctl list-units --type=service 找到自启动服务,禁用后删除。考虑到可能是定时器在执行这个异常程序,使用crontab -l命令查看用户的定时任务列表,果然发现了异常的定时任务。进一步调查后发现,这个定时任务是由一个位于国外服务器的IP地址设置的。
4、解决问题
此时虽然还不能确定这个异常程序是否为挖矿程序,但出于安全考虑,决定先删除这个定时任务。然而,在尝试使用crontab -e编辑定时任务列表时,发现由于文件或目录的扩展权限设置,不允许进行编辑操作。
通过lsattr命令查看/var/spool/cron/root(这里假设是存放root用户cron任务的目录,但通常cron任务存放在/var/spool/cron/crontabs/下)的扩展权限,发现它被设置了a(append only,只允许添加数据)和i(immutable,不允许修改、删除)属性。为了删除这个异常定时任务,首先使用chattr -ai /var/spool/cron/root命令去除这些权限限制,然后编辑并删除异常定时任务。为了服务器的安全,在删除完成后,再次使用chattr +ai /var/spool/cron/root命令为文件或目录加上了权限限制。最后使用last查看最近登陆的异常用户,并对异常用户进行删除。
5、异常程序解析
为了进一步了解这个异常程序的目的,对相关的配置文件(如config.json)进行了解析。通过分析配置文件的内容,发现这些配置是用于设置某个加密货币矿机的参数,这证实了之前的猜测:这个异常程序确实是一个挖矿程序。由于没有找到mon.sh病毒文件猜测是病毒启动后会删除原病毒文件,如果能找到删除掉就好。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
