使用top命令觀察占用cpu程序的PID(注:惡意程序的名稱千奇百怪)?
創(chuàng)新互聯(lián)專注于貢覺企業(yè)網站建設,成都響應式網站建設,商城網站開發(fā)。貢覺網站建設公司,為貢覺等地區(qū)提供建站服務����。全流程按需網站設計,專業(yè)設計���,全程項目跟蹤�,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務
通過PID查看該程序所在的目錄:ls /proc/XXX/
? 執(zhí)行l(wèi)l /proc/14202 查看該程序運行的目錄
進入該目錄并進行查看都有哪些文件?
將這些文件的權限全部修改成000���,使這些程序無法繼續(xù)執(zhí)行:chmod 000 -R *?
? 以上基本可以找出惡意程序所在的目錄了���,接著我們將該程序kill 掉即可?
持續(xù)觀察即可(該示例通過觀察30min,該惡意程序繼續(xù)沒有再執(zhí)行)?
補充:
建議執(zhí)行crontab -l 查看是否有可疑計劃任務在執(zhí)行���,如有請及時刪除(crontab -r)
通過上面的排查步驟我們可以看到cron程序是運行在/root/.bashtemp/a目錄下的�,但/root/.bashtemp/目錄下還有很多這樣的程序��,所以也要執(zhí)行:chmod 000 -R * 將所有惡意程序的權限清除
一般來講通過以上步驟可以將惡意程序干掉�����,但不排除不法分子還留有其他后門程序,為了避免類似情況發(fā)生���,建議保存重要數(shù)據后重裝操作系統(tǒng)
后續(xù)請對服務器做安全加固����,以免再次被入侵����,比如更改默認遠程端口、配置防火墻規(guī)則�、設置復雜度較高的密碼等方法
重慶分公司
重慶分公司
