1.排查問題
下午登錄服務器,發現用了十幾秒才進入,使用top命令想看看是什么程序占用內存,找到了罪魁禍首。
2.解決問題
2.1定位病毒
1.使用top命令得出進程號(PID)
2.使用命令ls -l proc/{進程號}/exe得出文件位置
2.2清除病毒
1.使用 rm 命令直接刪除,會發現提示無法刪除,應該是使用了chattr命令將文件鎖定了
使用命令: chattr -i {文件名} ,然后使用rm -rf {文件夾}即可正常刪除。
2.使用ls命令你會發現還有其他程序,同理刪除networkservice、sysguard、update.sh、config.json。
3.檢查是否還有免密登錄的后門文件 /root/.ssh/authorized_keys 也一並刪除。
4.檢查定時任務 crontab -l 將可疑任務清除。
5.使用kill -9 {進程號}殺掉正在運行的病毒程序。
最后將服務器重啟,檢查是否還有異常