平常只是写写代码,部署部署程序的我,这次遇到了一个棘手的问题:病毒。
运行 top 命令可以看到有一个程序 -bash 占用 CPU 2000% ! 2000% 啊。
没办法,领导说系统可能要重装!为了不用重装系统(想想部署环境时的各种麻烦事 centos8,内心有点绝望),硬着头皮,我就打开 必应,开始使用程序员传统技能,查找程序的解决之道。
- 有查到这是挖矿程序的。
我尝试查看这个程序。通过 ll /proc/pid 去查看他的内容,发现 exe 指向的文件已经删除。
kill -9 pid 杀死这个程序,我以为成功没问题了。
但是,但是,两小时后TM又启动了!!!
我又仔细去看别人的杀毒步骤。
最后去看 /etc/rc.d/init.d 里面的服务,发现一个没见过的 sync, 打开文件瞧一瞧。
CTM 的。
原来是 /bin/sysdrr 才是他的源程序。先把 sync 这个文件删除掉。
找过去,干他!
rm -rf sysdrr 提示没有权限。
看别人的帖子说是因为这个文件有 i 权限。
然后移除他的 i 权限
chattr -i sysdrr。然后就可以一刀杀死他了。
事情还没完。
还发现他新增了一个 null 用户, userdel -r null 一直提示用户有某个进程里 (process 1),删不掉,那么咱们给他换个密码,让他用不了。
最后服务器看着平静了。然后我把经历写到这里,希望能给读者带去一点帮助。
