昨天需要用服务器跑一个代码,结果nvidia-smi命令结果显示GPU基本被一个miner/ld-linux-x86-64.so.2的process占满,查看该进程用户为root。跟实验室同学确认无人知晓,初步判断为挖矿病毒,先kill掉再说:kill 19459
下午忙着看代码看论文没有管这个病毒的事,当我晚上再次查看服务器准备运行命令时,却再次显示GPU被占满。同样的场景再现。于是,我准备认真看一下这个病毒咋回事。
用top命令查看,发现最占CPU的是一堆apport和update进程。
查资料说apport是系统内部错误报告程序,错误报告会放在/var/log/apport.log中,因此输入命令
sudo cat /var/log/apport.log | more
查看结果如下:
可以发现异常的那个update来自/root/groot/update
为了确认这个/root/groot/update是否正常,我查看了我们实验室另外几个服务器,发现其他服务器都没有这个/root/groot文件夹。
估计这个文件夹有问题,我想把这个文件夹删了,但是又怕万一就是系统文件呢,所以我的操作是修改权限
sudo chmod -R a-x /root/groot
sudo chmod -R a-w /root/groot
sudo chmod -R a-r /root/groot
这三句话分别是取消该目录及子目录的执行权限(x),写权限(w),读权限(r).
然后我用命令
killall update