这几天自建服务器的服务进程总是莫名其妙的被系统干掉,导致线上的服务受影响, 之前没时间关注,今天对服务器进行检查,才发现问题,原来服务器中毒了,导致系统负载过高。
1. 执行top,查看了所有进程
看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了大部分以的CUP,同时还有x用户开启的进程,查找资料后,发现它就是挖矿进程。
2.排查kswapd0进程
执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息
netstat -antlp | grep kswapd0
发现一个与本机端口通信的是一个荷兰的ip
执行命令
netstat -antlp | grep 194.36.190.30 查询该地区ip的其他网络占用情况
3. 查找进程的详细信息
我们来到/proc/目录下查找对应的pid号,即/proc/497。可以在这目录下找到kswapd0进程的详细信息。
ll /proc/497
4.查看进程的工作空间
ps -ef | grep kswapd0
执行完后可以看到进程的pid以及进程相关文件的位置
5.切换到木马程序目录并删除
rm -rf /var/tmp/.copydie
6.清理定时任务
很多病毒都是有会在定时任务里面,以至于很难清理清楚。 查看定时任务:
crontab -l
清理计划任务:
crontab -e
清除后将定时任务里的相关文件都清理干净,若有其他用户,将其他用户的定时任务也清理。
7.杀掉kswapd0进程
最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启
#kill -9 kswapd0进程的PID
kill -9 497
8. 处理方法
(1)安装监控报警软件
针对挖矿木马病毒,最有效的方法就是安装监控报警软。软件可以检测到一些潜在的安全隐患,并提供相应的修复建议。
(2)清理系统垃圾文件
挖矿木马病毒会占用计算机资源,并在计算机中留下大量的垃圾文件。这些垃圾文件会导致计算机运行缓慢,严重影响计算机的性能。因此,在清除病毒后,需要对计算机进行垃圾文件清理,以恢复其正常的运行速度。
(3)更新操作系统和软件
有时候,计算机被感染了挖矿木马病毒是因为操作系统或软件漏洞导致的。因此,在清除病毒后,需要及时更新操作系统和软件,以弥补漏洞,防止类似事件再次发生。
