服务器的CPU使用异常,登入后发现50%的CPU被完全吃满,使用htop命令可以查看到CPU使用情况,查看计划任务,发现异常的计划,以下是手动查杀的过程。

此挖矿病毒比较隐秘,为了避免被用户发现,每天会定时在某些时间点占用50% CPU,而非24小时占用50%CPU。

1、查看异常进程

ubuntu:~$ sudo netstat -antlp | grep -e bash -e rsync

tcp 0 0 10.200.19.2:38186 51.91.220.237:443 ESTABLISHED 3289/-bash

2、查询异常IP地址,基本判断为挖矿病毒

iP地址:51.91.220.237 归属地:法国大东部斯特拉斯堡 运营商:OVH

3、查看计划任务

ubuntu:~$ sudo crontab -l

* * * * */home/ubuntu/gt/.crond/crond

4、查看crond文件内容,判断为恶意文件

ubuntu:~$ sudo cat /home/ubuntu/gt/.crond/crond
#!/bin/bash
cd --
mkdir
cp -f
/home/ubuntu/gt/.crond
-- .crond
-- x86_64 .crond/crond
./.crond/crond -c
rm -rf .crond

5、修改服务器账号密码、删除计划任务、删除恶意文件,并重启服务器,观察CPU以及进程使用情况,恢复正常。

Copyright © https://yan-jian.com 2023 all right reserved更新时间: 2025-07-25 16:57:18

results matching ""

    No results matching ""