今天早上在服务器输入命令的时候,突然发现很卡。
于是看了一下内存,发现竟然被全部占用,然后又看了一下cpu,竟然飙到了200%!怀疑中了挖矿病毒。
于是开始排查:
第一步:ps -aux|grep spreabcd查看与spreabcd相关的进程有几个,分别查看他们的PID、PPID。
输入:pkill 12707 。杀死和spreabcd有关的所有进程。
然后过了20s发现spreabcd服务又起来了。说明还有脚本再控制着。
第二步:查看进程相关信息:systemctl status 24705
可以看到与这几个文件相关。
第三步:尝试分别删除这里个文件watchdog.sh,/tmp/11,/tmp/spreabcd。
友情提示:删除前别忘记备份!!
然后在杀掉所有与spreabcd相关的进程。
病毒消失,也不会再出现,OK!!!
其他方法:
也可以通过输入ps -ef|grep spreabcd,然后查看spreabcd进程的ppid来确定是11文件在控制spreabcd的定时启动。
友情提示:别忘了检查crontab定时任务和开机启动项rc.local、rc.d下等文件。
因为我的/etc/rc.local文件中还被写入了系统启动就自启动11文件!