1.有一天在事故现场，正常登录服务器，想做一些测试。就在我使用curl命令的时候，发现prompt命令不存在，我测试了wget命令。也是同样的情况，突然觉得情况不妙。netstat、ps等其他命令不能用，但top还是可以用的。

看了眼系统的负载(这里截图的时候已经做了一些重启处理)，发现平均负载19.40，高的离谱，肯定有问题。

执行top命令，按1展开多核视图，按c按CPU占用大小排序列表。CPU使用率高，但是没有使用率高的程序。

我怀疑这个最高命令已经被篡改了。从同一个发行版中复制一个top并重新执行。效果是一样的。那病毒程序应该是篡改了，让你看不到。

这个时候服务器正在疯狂外包，通过果壳软件的可视化窗口可以看到。为了更直观地观察，使用以下命令发现服务器疯狂地收缩146.165.159的6379端口。*.

tcpdump -nn

第一种思路是通过防火墙的出站规则限制IP，但是会建立新的链接，这是治标不治本的。好像是挖矿程序，利用这段时间把重要文件备份到本地，然后把不太重要的文件断网后打包。

因为我的两台学生电脑都是用私钥登录的，另一台也感染了。由于工作原因，没来得及处理，就收到了报警信息。

2.处理已经在本地备份了重要文件，断网！！！通过VNC登录后，执行命令停止网络服务。(此处vnc停网后仍可使用)

Systemctl停网，先别管问题。不太重要的文件做个包备份，处理完网络问题再下载到本地。首先检查是否有计划的任务，并使用以下命令:

crontab -l

你找到了吗？使用以下命令再次检查它:

Cat/var/pool/cron/root #或使用以下命令more /var/log/cron log

发现群-xn的命令...每分钟都会被处决。弗洛克从未见过他。问度娘。

群众

Linux下的群发文件锁

当多个进程可能对相同的数据执行操作时，这些进程需要确保其他进程没有也在操作，以避免损坏数据。

通常，这样的进程会使用一个“锁文件”，即创建一个文件来告诉其他进程它正在运行，如果检测到那个文件，就认为操作相同数据的进程正在工作。问题是进程意外死亡，没有清理锁文件，用户只能手动清理。

-s，--shared:获取一个共享锁。在针对文件的FD上设置共享锁但锁未被释放的时间期间，其他进程无法在针对该文件的FD上设置排他锁，而其他进程将成功地在针对该文件的FD上设置共享锁。-x，-e，--exclusive:获取一个独占锁，或者写锁，这是默认项-u，--unlock:手动释放锁，一般不需要。当FD关闭时，系统会自动解锁。此参数用于某些脚本命令需要异步执行而某些可以同步执行的情况。-n，--nb，--nonblock:非阻塞模式，当锁获取失败时，返回1而不是等待-W，--wait，--超时秒数:设置阻塞超时，当超过设置的秒数时，退出阻塞模式，返回1，继续执行下面的语句-O. -c，--command命令:你不用那么担心shell中后续语句的执行，只要知道脚本会在

您可以从日志中看到该脚本的源代码是

Http://107.189.3.150/b2f628/cronb.sh下载时被病毒拦截了。给丝绒一个赞。还原它，用记事本查看脚本的内容。

它做了所有不该做的事。有兴趣的朋友可以下载样片学习，不要到处跑！

如果你的机器是阿里云，你也会删除系统中的防护服务或者云警察。

根据脚本的内容，逆向处理:

chattr -IEA/var/tmp/* RM -RF/var/tmp/* RM -RF/var/spool/cron/* RM -RF/var/spool/cron . d/* RM -RF/var/spool/cron/crontabsrm -RF/etc/Crontabsystemctl Stop contab #删除隐藏密钥chattr -IEA/Home/Hilde/RM -RF/Home/Hilde/#停止采矿程序sudo systemctl禁用kswapd 0 . service sudo system 在前面systemd -update -daily chatter -ia/etc/zzhchattr -ia/etc/new init的操作中，清除ld.so.preload文件后，可以在顶层找到挖矿程序的进程并将其杀死。

然后分析进入的原因。保存需要备份的文件，重装系统！

Cat /var/log/secure3。为了方便分析，你也可以限制服务器的速度。

在开始之前，清除eth0的所有队列规则。

tc qdisc del dev eth0 root 2 & gt/dev/null & gt；/dev/null定义顶级(根)队列规则并指定默认类别号。这样，承包出去的合同速度就会降低。

tcq disc add dev eth 0 root handle 1:htb default 20tc class add dev eth 0 parent 1:classid 1:20 brate 2000 kbit #(1kb/s = 8k bit/s)查看tc状态。

tc -s -d光盘显示开发eth0 Tc -s -d类显示开发eth0删除Tc规则

Tc qdisc del dev eth0 root也可以在限速后使用以下命令，来检查外包合同的IP地址和端口，并让其被防火墙阻止或进一步查看进度。

Tcpdump -nn也可以安装nethogs程序来观察承包程序。

网虫

例如，找到端口2375并使用netstat命令。

netstat -antpu | grep 2375

找到进程的PID杀手。

lsof -i :2375

Kill -9 4049清除启动项，重启电脑后挖矿程序没有自动运行。

vim /etc/rc.d/rc.local

最后，切记千万不要心存侥幸，重装系统，否则你就不知道后门是什么了。经查，我的服务器很可能是redis漏洞造成的，还有一种情况是打开docker的api接口造成的。

相关标签： 生活资讯