今天同事用我的服务器装了个zookeeper,压缩包是从国内镜像网上下载的,按理说没问题,没想到装上后不久,cpu直接100%。
用top命令查看cpu情况,发现有个叫xr的进程,cpu占用达99.3%!!很明显,是个木马,kill掉该进程后,没过几分钟,cpu重新达到100%,top命令发现xr又回来了,于是猜想肯定有守护进程。
ps查看xr的pid为19790,
cd /proc/19790/cwd
ls -al /proc/19790
可以看到病毒程序运行在/.Xll/xr,kill掉该进程,并删除xr文件。
执行
systemctl list-unit-files|grep enabled
命令可以看到有个叫crond.service的服务。
vim /etc/crontab
查看该服务配置文件,发现文件里多出了许多黄色的文字,大概意思是每隔一段时间,从远程重新下载病毒文件并执行,所以仅仅删除xr文件是不行的。
删掉这些黄色的文字,
service crond restart重启服务。cd /root/.ssh目录,发现本地ssh文件并没有被修改。
观察了一段时间,服务器恢复正常。
高谈阔论