公司服务器CPU突然100%满载运行,运行堵塞。导致服务器卡顿严重。
处理步骤:
1、通过SecureCRTPortable等软件连接服务器,输入 top 查看正在运行的服务有哪些。
发现了第一个服务直接沾满服务器的CPU sysupdate服务
2、Kill掉运行的sysupdate服务 后服务器CPU直接恢复正常。
3、现在CPU虽说是正常的,但是挖矿脚本还是会自动运行,可想而知是有定时任务在自动运行相对应的挖矿脚本。
后续通过 crontab -l -u root 命令 查看了root用户下的所有定时任务,没发现有挖矿的定时任务。
做后通过 more /var/log/cron log 查看定时任务日志找到对应的脚本运行定时任务
通过定时任务日志发现 crontab -l -u www(账户) ,查看服务器所有用户的定时任务后,发现是 www 账户下的定时任务有 update.sh 脚本 在定时任务中运行,所以任务即使 kill 掉也会自动启动。
4、最重通过 rm /var/spool/cron/www 命令 删除掉www中的定时任务。
删除后再次查看定日任务以及日志中脚本存在的路径中的文件,将上述/etc下的文件全部删除
删除文件:config.json(挖矿配置)、sysupdate(XMR挖矿软件)、update.sh(本脚本)、networkservice(scanner 扫描并入侵其他的主机)、sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)。
/proc/sys/vm/drop_caches 删除
本次参考:
https://www.freebuf.com/vuls/200289.html
or
https://blog.csdn.net/daiyuhe/article/details/95683393
防火墙最后安装上了,再不起作用,实在是无能为力了。
https://www.cnblogs.com/xuey/p/7650843.html 防火墙基础命令
https://www.linuxidc.com/Linux/2012-06/63110.htm 重启和停止防火墙
用iptables命令添加好防火墙规则后, 用命令service iptables save对规则保存。 然后重启系统也不会丢失规则了。
差了很多资料都说是redis的问题,没有设置密码,可能是redis的问题,很容易导致权限泄露,所以现在密码加上了,等几天看看。
若出现防火墙无法重启,安装防火墙服务就可以了。
定时任务突然应该改了SELINUX原因无法自动运行,最后改回原来的就可以了。SELINU还是别乱修改。
推荐