zhimeng1 2024-01-23 13:21 采纳率: 0%
浏览 7

Linux安全,cpu过高,怀疑被挂鸡了,如何处理

cpu异常怀疑被挂鸡,又不知道怎么解决,cpu使用率超过百分之90,进程pid被隐藏,发现有定时任务,无法删除进程。

img

img

img

img

img

  • 写回答

2条回答 默认 最新

  • 禾糖月色 2024-01-23 15:52
    关注

    三言两语比较难说清楚,给你一个方向。
    首先查看定时任务中的脚本文件内容,一般挖矿木马,都是把木马写入定时任务里面做持久化的。这个脚本里面一般也会包含某些ip地址,是用来获取木马和更新木马用的,将里面的地址先加入IP黑名单,禁止访问,防止木马进一步更新和升级。
    然后看脚本中的木马或者从脚本中的地址下载木马文件,用vscode打开(不要执行),更安全一点的方式,应该是使用沙箱去做这些操作,防止本机感染。
    将木马脚本中替换和修改,以及隐藏的文件找到,删除创建的恶意文件,并且从其他服务器拷贝完好的so库来修复被破坏和删除的so库。
    如果你在排查过程中,遇到命令失效或者感觉命令不正常的情况,可以使用busybox(沙盒)指令来替换系统命令,具体使用方法你可以百度下,busybox不依赖于系统命令,所以想ll,ps等命令被木马恶意修改也不会导致busybox指令异常。
    木马往往会破坏防火墙,注意删除恶意文件后还要重做防火墙策略等。

    评论

报告相同问题?

问题事件

  • 创建了问题 1月23日