某天,一台服务器cpu占用高达96%,
好吧,这种情况当然要看看是哪个进程占用的了,
top查看进程发现是一个 ls_linux 的进程高居榜首,但是自己知道该服务器上没运行过此种服务的,
所以断定可能是被抓去挖矿了,试着kill干掉这个进程,
果然,没那么简单,一会儿的工夫就又出现了此进程。
在系统中再 ps aux 查看进程时,又发现一堆的[xxxxx]进程,而且显示用户是test,
这个用户的密码过于简单,可能是被暴力破解了。
ps aux | grep test
一执行,出现了4000+个[xxxxx]的进程!
手动kill是不可能了,就赶紧写了脚本,杀死test下所有的进程,并且把test用户的密码修改成复杂密码,
继续 kill 掉主要的进程ld_linux ,cpu一下就降下来了。
观察一段时间后,发现cpu运行稳定,算是解决了一次病毒事件吧。
总结:
1.用户的弱密码是个硬伤,尽量加强密码强度,linux服务器本身的权限机制就比较安全,
所以密码一定要保护好;
2.在处理过程中,杀死进程时的进程号以 ps aux 命令中的为准,top能看到进程运行情况,
但还有可能一些不占用cpu的进程存在,top是显示不出来的。需要用 ps aux 来筛选;
3.熟悉自己的服务器,清楚上面运行的服务,这样一旦出现不熟悉的进程就能判断出来;
4.多用 ps aux 查看可疑进程,再 find 搜索进程文件,将顺藤摸瓜,将进程文件的干掉,或者使文件失效;