今天无意间收到告警,一台服务器的CPU使用异常,登入后发现50%的CPU被完全吃满,使用top命名看不出异常进程,查看计划任务,发现异常的计划,此次病毒查杀相对于上一次轻松很多,以下是手动查杀的过程。
服务器中毒后务必先把中毒服务器上管理员账号的密码做一次修改,然后再进行下面的操作。
1、使用top命令查看CPU使用情况:
2、查看计划任务,是否有异常,两个异常任务如下:
1 * * * * * /usr/local/games/.x/upd >/dev/null 2>&1
2 @reboot /usr/local/games/.x/upd >/dev/null 2>&1
3、使用busybox netstat查看有没有隐藏的异常流量:
发现一个异常的IP地址:84.49.140.128,通过IP138查询发现这个地址是在 挪威
4、进入病毒文件目录(/usr/local/games/.x)
5、通过对目录文件的查看,可以发现病毒会每分钟或服务器重启后对计划任务进行任务添加,但是其中pider这个文件把病毒的进程号(26185)写在了里面,但是通过ps -ef查询不到这个进程号,表明病毒将进程做了隐藏操作
6、下一步kill掉进程试试
7、进程结束后发现CPU使用率瞬间恢复正常
8、删除整个病毒文件目录
9、至此病毒清理完成,后续再观察一段时间看看,其次系统加固很重要,可以参考以下文档针对ubuntu系统做系统加固,防止被暴力破解
https://yan-jian.com/ubuntu%E6%9B%B4%E6%94%B9ssh%E9%BB%98%E8%AE%A4%E7%AB%AF%E5%8F%A3.html
https://yan-jian.com/Fail2ban%E8%AF%A6%E7%BB%86%E6%95%99%E7%A8%8B.html