近期在维护服务器时发现,CPU被异常占用,输入htop查看占用情况,看到是一个/.cron指令占用了大量CPU。
解决过程如下:
第一步:输入htop指令(需要安装,没安装也可以用top指令代替), 让进程按照CPU的占用排名来排序,从而发现异常进程。
第二步:找到该任务对应的用户,到该用户的根目录下,ls -a 显示所有文件,找到.ssh文件。这个文件一般是在秘钥登录时会用到,但是问询该用户,他没有创建秘钥,所以推测是木马病毒的植入者留下的,将其删除。这一步可能会遇到权限问题,可以先更改其权限,后以sudo权限删除。
第三步:在删除后发现,该进程还是会不断重启,故进入该用户的周期任务中去找,是不是留下了自动执行的任务。指令如下:
cd /var/spool/cron/crontabs #进入周期任务的文件夹
ls #查看都有哪些用户创建了周期任务
cd username #进入到有异常任务的用户名文件夹,可能遇到权限问题,sudo改权限之后就好
然后vi查看文件,按照路径把里面的周期任务执行的脚本文件一个个的找出来删掉,就可以了。