原因是在 有个叫 libselinux.so的二进制在执行,这个名字看起来跟selinux有关系,实则不然,应该是一个挖矿脚本之类的,然后top里没有进程,ps 里也没有
最后通过 perf top -s comm,pid,symbol 查出一堆unknown进程,然后根据 /proc/pid 找到了执行文件所在地,删除了整个目录,最后就cpu使用率就降下去了,
现在的病毒真机智,竟然在top 和 ps 里死活都查不出来,通过 ps H -eo user,pid,ppid,tid,time,%cpu,cmd --sort=%cpu 这个命令竟然都没有。
执行完果真发现了病毒
另外 top -i top -b 可尝试 不一定安装perf 没有就按sudo yum install perf
然后
kworkerds 处理脚本
腾讯云的机器发现中了 kworkerds 病毒。经过一顿调查,初步完成了处理。
结合网上其他人的遭遇,感觉这个病毒会有所进化,如果发现我这招不好用,就需要研究一下你中的病毒的脚本,它到底修改了哪些文件。然后通过 chattr -i 去掉 i 属性(这个是后来病毒才需要的,困扰了我好久,之前竟然都没听所过Linux下面还有这个属性),然后才能修改文件的只读属性。
echo '127.0.0.1 pastebin.com' >> /etc/hosts
chattr -i /etc/ld.so.preload
echo "" > /etc/ld.so.preload
chattr -i /usr/local/bin/dns echo "" > /usr/local/bin/dns chattr -i /etc/cron.d/root echo "" > /etc/cron.d/root chattr -i /etc/cron.d/apache echo "" > /etc/cron.d/apache chattr -i /var/spool/cron/root echo "" > /var/spool/cron/root chattr -i /var/spool/cron/crontabs/root echo "" > /var/spool/cron/crontabs/root rm -rf /etc/cron.hourly/oanacroner rm -rf /etc/cron.daily/oanacroner rm -rf /etc/cron.monthly/oanacroner #rm -rf /bin/httpdns #sed -i '$d' /etc/crontab sed -i '$d' /etc/ld.so.preload chattr -i /usr/local/lib/libntpd.so rm -rf /usr/local/lib/libntpd.so ps aux|grep kworkerds|grep -v color|awk '{print $2}'|xargs kill -9 chattr -i /tmp/thisxxs rm -rf /tmp/thisxxs chattr -i /tmp/kworkerds rm -rf /tmp/kworkerds 找到了这个解决脚本, 运行了就ok