发现过程
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下
排查过程
使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这很不正常
于是我搜了一下bash占cpu过多是什么情况,让我发现了这个博客:Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
看了下这篇博客的排查过程,我跟着做了一下,发现非常相似
首先,看了一下定时任务,发现确实有个bash文件,查看了下它的内容发现执行的是zhy用户.bash目录下的x86_64文件
看到名字有点像系统的文件,但我在我自己的用户下发现根本没有.bash这个目录,而且这个定时任务也不是我同学设置的,那肯定有问题
又查看了下进程的通信信息,发现在与178.62.225.127进行通信
查了下这个ip的归属地发现确实和那篇博客一样也在外国
我又用十六进制编辑器打开了下那个x86_64文件发现被upx加了壳
文章来源:https://www.toymoban.com/news/detail-799483.html
写在后面
服务器用的4090,可能被不法分子给盯上了。多亏平时用conky在桌面上显示cpu占用信息才能及时发现问题,但由于我并不太懂这方面知识,所以直接把zhy这个用户和它的家目录都给删了,希望之后不会再出问题吧文章来源地址https://www.toymoban.com/news/detail-799483.html
到了这里,关于服务器bash进程占用cpu过多疑似中挖矿病毒记录的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[疑难杂症2023-004]停止服务器自动启动的服务,解决端口占用的问题](https://imgs.yssmx.com/Uploads/2024/02/565662-1.png)
