最近准备搭建一个个人博客,发现才放了一个nginx和一个很简单的java后台cpu占用率就居高不下,然后用top命令查看果然有问题
其中这个networkservice 和sysupdate占用很高,原本还以为是系统相关的进程,但是想想如果是系统相关的进程不可能占用这么高,一头雾水的情况下各种谷歌百度,然后发现这些奇怪的进程应该是服务器中了挖矿之类的病毒。找了很久终于找到解决方案。
1 . 首先查看cpu占用高的进程的目录地址
使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe
2. 删除这些脚本病毒可能设置的任务
可以通过crontab -l 来查看当前用户的定时任务,将不是自己定义的任务删除
删除命令
crontab –e3. 杀掉这些占用高的进程
kill -9 杀掉进程后,进入这个进程的目录下
4. 删除进程文件
一般直接用rm -rf 是删不掉的,可以使用lsattr -a 查看文件属性
类似如下
如果发现病毒文件前面有i 代表这个文件被锁了,需要先解锁才能删除
5. 使用chattr命令解锁文件
但是我的服务器上chattr这个命令被删除了(可能是病毒导致的),只能尝试重新安装
yum install chattr -y但是安装没生效,不清楚其中的原因。
于是通过另外一台同样是64位的服务器拷贝过来一份chattr文件,然后chmod 777 chattr赋予执行权限
然后
chattr -i XXX你的病毒文件即可解锁,然后rm -rf 删除文件
6. 重复上面的步骤将所有的病毒文件删除
然后终于恢复正常了
总结:
1. 最后最好修改下你的登录密码和22端口,防止在被植入木马
2. 一些应用的默认端口最好修改,然后都设置密码
3. 如果登录机器ip固定,可以使用黑白名单登录