某天,一臺服務器cpu佔用高達96%,
好吧,這種情況當然要看看是哪個進程佔用的了,
top查看進程發現是一個 ls_linux 的進程高居榜首,但是自己知道該服務器上沒運行過此種服務的,
所以斷定可能是被抓去挖礦了,試着kill幹掉這個進程,
果然,沒那麼簡單,一會兒的工夫就又出現了此進程。
在系統中再 ps aux 查看進程時,又發現一堆的[xxxxx]進程,而且顯示用戶是test,
這個用戶的密碼過於簡單,可能是被暴力破解了。
ps aux | grep test
一執行,出現了4000+個[xxxxx]的進程!
手動kill是不可能了,就趕緊寫了腳本,殺死test下所有的進程,並且把test用戶的密碼修改成複雜密碼,
繼續 kill 掉主要的進程ld_linux ,cpu一下就降下來了。
觀察一段時間後,發現cpu運行穩定,算是解決了一次病毒事件吧。
總結:
1.用戶的弱密碼是個硬傷,儘量加強密碼強度,linux服務器本身的權限機制就比較安全,
所以密碼一定要保護好;
2.在處理過程中,殺死進程時的進程號以 ps aux 命令中的爲準,top能看到進程運行情況,
但還有可能一些不佔用cpu的進程存在,top是顯示不出來的。需要用 ps aux 來篩選;
3.熟悉自己的服務器,清楚上面運行的服務,這樣一旦出現不熟悉的進程就能判斷出來;
4.多用 ps aux 查看可疑進程,再 find 搜索進程文件,將順藤摸瓜,將進程文件的幹掉,或者使文件失效;