当Linux算法服务器被挖矿了怎么办?

01

故障简介

最近发现公司测试用的算法服务器又又又出问题了,服务器资源都要爆了,算法工程师一直追问原因,动不动就拿“耽误上线”说事。面对公司的小(xia)祖(tou)宗(man),我还能说啥呢。

问题排查

老规矩,先查找CPU运行高的进程

  • 使用top查看进程的运行情况,发现机器的负载较高,进程数也非常多。
  • 看到其中一个进程的cpu比较高,而且进程有些奇怪

     

 

看源文件发现是/ect/system文件正在运行服务,但是这个高占用率的CPU完全不对劲,而且在/ect目录下不应该有这个文件,同时文件创建日期在48h内,与其他系统文件明显不同,初步判断是挖矿病毒。

 

其实,在上个月有出现了相同的文件,但是当时没有多想,只是杀掉了原有进程。随后删掉了对应文件,没想到病毒卷土重来。

………………………………………………………………………………………

处理过程一

  • 直接对病毒进行删除是行不通的,因为system文件正在运行,而且运行的用户是root,需要先kill掉对应的进程,随后进行删除

使用ps -ef |grep system 查看对应的进程

当我尝试kill掉挖矿进程和对应的父进程之后,发现马上这两个文件就重启了!

可能是病毒中包含自动重启的方式。

…………………………………………………………………………………………

处理过程二

  • 考虑到无法通过kill -9 pid 的方式强行杀死病毒对应的进程,我们考虑先査看linux中病毒的载体service,尝试关闭对应的service看是否可以这样kill 掉病毒。
systemctl status 19288

经过查看后,发现service是一个系统service,然后使用谷歌大法后,发现停止不会影响系统运行,于是停止了该服务。

这时再使用top命令可以发现,病毒对应的进程已经没有了。直接成功了一半!

…………………………………………………………………………………………

处理过程三

  • 由于是测试环境,通过直接尝试运行 sudo rm /etc/system ,但是发现无法对文件进行删除, 没想到root用户都显示没权限。感觉应该是属性被root进行修改了,无法直接被删除和修改。
  • 使用lsattr命令和chattr命令发现这两个命令都无法运行, 都显示乱码以及命令参数提示,感觉是病毒对这两个命令改了一些东西。
  • 遇到这种情况也只能重装相关命令了,不再使用被修改的命令了。

     

wget https://raw.githubusercontent.com/posborne/linux-programming-interface-exercises/master/15-file-attributes/chattr.cgcc chattr.c -o fkyou./fkyou -i /usr/bin/chattrrm /usr/bin/chattrcp fkyou /usr/bin/chattr

命令安装之后再次执行删除对应文件

sudo chattr -ai /etc/systemsudo rm /etc/system

…………………………………………………………………………………………………………..

…………………………………………………………………………….

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/80514.html

(0)
guozi's avatarguozi
上一篇 2024年5月31日 上午9:53
下一篇 2024年5月31日 上午9:54

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注