使用top命令查看:
top
发现top查看不出任何问题,那就说明被后门隐藏了 ,查看一下后门文件:
vim /etc/ld.so.preload
更据上面的地址找到并删除:在找的时候发现在 usr/local/bin下面发现挖矿脚本,可以直接删除。
但是预加载恶意动态链接库型后门 无法删除
属性被修改导致无法删除,使用chattr发现没有这个命令,查看了一下安装包发现还在,可能是被丢到别处去了。想查询一下命令去哪里了,但服务器早爆了,不等了
chattr -ia /etc/ld.so.preload
那就删掉重新安装:
yum remove e2fsprogs
yum install -y e2fsprogs
然后再修改属性并删除,/etc/ld.so.preload 文件里边的路径文件都抓出来修改并删除:
chattr -ia /etc/ld.so.preload
rm /etc/ld.so.preload
此时再用top查看,已经显示出来,剩下几个刷新太快没截到:
kill -9 不管用,进程pid一直在更换,所以手速要快一点,通过pid去查看
systemctl status 你的-PID
最后通过路径发现罪魁祸首如下:
再查一下定时任务,我这边没有发现。
crontab -l
如果有就进去修改
crontab -e
最后重新启动云服务器,一切正常: