现象:
1. 今天连服务器发现root密码被改了,再改回去,登录发现服务器很卡,top查看,可用的cpu为0,但是没看到明显的进程,很显然中了病毒
2. 发现crontab -l有异常的定时计划,给删除掉
但是进程被隐藏了有点麻烦
解决:
1. 可以查看到具体进程了
echo "" >/etc/ld.so.preload
2. 删除文件和杀掉进程 可以看到,cpu可用就恢复了
rm -rf /root/.cfg/./rcu_tasked
kill -9 29485
好景不长 过一会发现 杀掉删除后过一会rcu_tasked进程又起来了,cpu又被重新占满
3. 写个命令每秒查一下rcu_tasked关键字进程,检索出来就杀掉
watch -n 1 "echo \"\">/etc/ld.so.preload && ps -ef|grep -v grep|grep rcu_tasked|awk '{print \$2}'|xargs kill -9"4. 观察系统日志
tail -100f /var/log/messages
发现myservice.service 服务的异常行为,不断尝试启动,然后被kill 掉,很显然是我们干掉的
5. 删除掉这个服务
cd /lib/systemd/system
rm -rf myservice.service
systemctl daemon-reload ok 观察一会儿发现正常了
参考链接
