从11月6号开始,公司上网就经常断网,路由器的cpu使用率达到95%以上,大概2分钟一次。导致整个公司无法使用网络。在路由器上,能看到有一台linux的生产服务器的对外连接数达到35万以上。
进入这台服务器,网络连接上会出现一个连接到mcsv.net的getty的终端,通过iftop持续监控网络连接。每隔2分钟,会发起大量的网络连接与网络包。
通过搜索发现在应用目录下,多出一个.git的文件夹,进入此目录
获取当前机器所有账号,隐藏进程,crontab 每隔2分钟启动一次。
1、先把crontab中每隔2分钟的自动运行删除
2、查找所有隐藏进程 ps -aux --sort=-pcpu|head -10,并进行杀死
3、检查/etc/hosts 及/etc/resolv.conf文件,将里面多余的删除。
4、打开hideproc.sh文件,找到编译的dll,进行删除,同时清理 /etc/ld.so.preload文件中的内容
5、删除.git文件夹,打开防火墙,将需要对外的端口打开。
6、重启。