某一客户环境,机器负载很高,但用户没有运行任务;CPU 负载很高;但是top 、ps -ef查不到这些进程;确定此机器中病毒了。
排查方法总结:
1.到/usr/bin/ 执行 ls -lt 确认最近修改的文件的修改时间。
2.确认关键目录同一时间 被修改的文件:
find /usr -type f -newermt "2024-03-01 00:00:00" ! -newermt "2024-03-01 23:59:59"
3.systemctl list-units --type=service --all 排查确认运行的任务是否有些异常服务,
4.通过chattr文件会被删除,可以从正常环境把二进制文件复制过来或者源码安装下:
tytso/e2fsprogs at v1.42.9 (github.com)
mkdir build
cd build
./configure --prefix=/path/to/your/directory
make &make install
5.将找到被修改的文件,chattr -ia 获取权限, rm -rf 删除掉文件
6.sysdig -c topprocs_cpu 确认占用CPU 的进程
7.kill -9 掉相应的进程, 一般情况下,负载会降下来。
9.修改root 密码,重新生成公钥等,修改ssh 配置文件 进行加固