再次经历了服务器中恶意程序,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行
代码语言:javascript复制./nexus start
并看不到报错 只知道运行一会然后就没了 然后操作前台运行
代码语言:javascript复制./nexus run
看到了运行到中间得时候 程序就突然被kill了这个时候我直接就查看了主机得运行资源
代码语言:javascript复制#查看运行内存
free -h
#查看硬盘内存
df -h
#查看CPU使用率
top
从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。 然后看看这个是什么文件一直运行
代码语言:javascript复制ll /proc/1061/exe
.................. /boot/.sdafasdf(deleted)...由于没有截图只能回忆 ll /proc/1061/exe后得内容,大概就是boot下面有个程序启动得 但是后面括号又写着deleted删除,我切换到/boot目录下过然没有看到相关文件, 尝试kill -9 程序pid 他会重新生成新的程序继续跑慢你的cpu 根据之前得处理恶意程序得经验 我看一下计划性任务
如上看到了一个任务是在nexus文件夹下得东西
代码语言:javascript复制rm -rf ....../fofx5san #进行删除然后在修改定时任务
代码语言:javascript复制crontab -e
进去之后直接dd删除这行然后继续kill -9 程序pid 发现并不管用还是会生成新的恶意程序,同样还会生成新的计划性任务 然后我可以看到不管重新生成的计划性任务再怎么变 前面的路径都是不变的/data/nexus/nexus-2.14.8-01/… 我直接修改nexus-2.14.8-01的文件夹名字
代码语言:javascript复制mv nexus-2.14.8-01 nexus-2.14.8-01_bak再次修改计划性任务进行删除 kill -9 程序pid 发现进程不会重新生成 并且不会有新的计划性任务
