服务器被植入挖矿程序排查

来自:互联网
时间:2021-04-29
阅读:

公司所属产品服务器负载异常CPU接近满载,导致业务线无法运行.

排查

使用 top 或 ps 查看异常进程PID

服务器被植入挖矿程序排查

查询对应进程所运行服务

systemctl status 1655
服务器被植入挖矿程序排查

查看所加载的配置文件信息

cat /etc/systemd/system/multi-user.target.wants/pmapx_start_2.service
服务器被植入挖矿程序排查

停止并删除对应进程任务

systemctl stop pmapx_start_2
systemctl disable pmapx_start_2
rm -f /etc/systemd/system/multi-user.target.wants/pmapx_start_2.service
rm -f /usr/sbin/route_forbidden-clos
临时解决方法

封堵对应IP

iptables -I INPUT -s 139.99.124.170 -j DROP
iptables -I OUTPUT -s 139.99.124.170 -j DROP
其他
服务器被植入挖矿程序排查

删除你看到的异常文件并kill掉对应进程

rm -rf /usr/lib/dev/systemd/systemd-dev
rm -rf /usr/lib/dev/systemd/systemd-udevd-run.sh

转自:https://www.ym68.cc/linux/2021/555092.html

返回顶部
顶部