2023.13.39分收到腾讯发来的提醒
查了一下后台,是这个样子
显示的是cpu与内存占用极高,不停有写入操作
大写的懵逼,第一反应是先关机
但是没屁用,cpu与内存占用居高不下
我处理的主要过程如下
kill进程没用,还会重新启动。查了半天资料,说是让我看看
是不是有自动启动的定时任务
启用命令
crontab -l
卧槽,真的有
大概是我用的redis安装包有问题
赶快启用删除全部定时任务命令
crontab -r
再次查询,就查不到这个定时任务了
但是占用率还是居高不下,kill不掉
用top命令查看进程状况
注意:这里我用过ps -aux | sort -k4nr | head -10
和ps -aux | sort -k3nr | head -n
查询内存占用最高的几个进程,返回的内容一片岁月静好!!!
说明程序被隐藏了,用这个命令根本查不出
top
就是这个流氓程序,一直占着,
用kill命令,后面的2988是它的pid
kill -9 2988
没有用,kill会让他消失几秒钟,然后很快就会再次出现
说明还是有问题
我担心是因为有人通过端口进入,我就
在防火墙暂时关闭了所有端口的访问
继续查资料,发现有人说需要
查看相应服务是否有ia等保护的权限
我就查了一下
[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner
-------------e-- xmrigMiner
很服气,真的有,然后说让我清除这个权限,执行
[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found
[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found
结果也看到了,显示没有这个命令,然后我就执行了rm -rf删除命令,没想到居然成功了
我再去kill相应的程序,程序也不会重新启动
注意:这里我发现有两个程序xmrigMiner和xmrigDaemon ,我就把他俩一起宰了
[root@xgms_VM-8-13-centos share]# rm -rf xmrigMiner
[root@xgms_VM-8-13-centos share]# kill -9 5213
[root@xgms_VM-8-13-centos share]# rm -rf xmrigDaemon
[root@xgms_VM-8-13-centos share]# kill -9 6296
[root@xgms_VM-8-13-centos share]# kill -9 13
[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner
lsattr: No such file or directory while trying to stat xmrigMiner
[root@xgms_VM-8-13-centos share]#
清除干净相应的文件
后面我就进入到具体的之前腾讯有提示过的文件夹里删除了相应的文件
分别是这两个栽种
/usr/share/xmrigMiner
/usr/share/scripts/enable_1gb_pages.sh
直接用rm制裁
再去查询这个保护权限,也查不到了
这个问题就基本解决
但是内存使用量还是很高,不知道为什么,我还在查怎么处理的时候,发现它自己降下来了
截止我写完这篇文章,它暂时也再没出现问题
警示
起因应该是redis的安装包里有木马
然后我将redis设置为所有ip均可访问以后,大概一个多小时,就出现了这种情况文章来源:https://www.toymoban.com/news/detail-643628.html
我只能说文章来源地址https://www.toymoban.com/news/detail-643628.html
!!!慎重开启全ip访问
!!!慎重使用来源不明的安装包
到了这里,关于菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!