文章目录 简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.杀掉kswapd0进程7.修改服务器密码8.总结
简介
最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序
但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文档发现应该是被黑客安装木马了
top查看kswapd0进程的Pid,例如下面的13955
top 2.查看进程的工作空间 ps -ef | grep kswapd0执行完后可以看到进程的pid,由于我这上来就直接把进程给干掉了,所以没有截图,我用rsync的代替吧,道理一样的
木马程序文件如下图
执行递归删除目录(需要谨慎确定好病毒的目录再使用 rm -rf命令)
rm -rf /tmp/.X25-unix 4.清理定时任务因为这个进程我杀掉之后没过多久又启动了,就知道应该有定时任务在重启
#查看定时任务crontab -l可以看到定时任务除了 /tmp/.X25-unix 目录外,还有一个目录很醒目,那就是 /root/.configrc
#查看目录ls /root/.configrc #删除目录文件rm -rf /root/.configrc#清理定时任务corntab -e#把和木马文件相关的定时任务全清理掉 5.查看所有用户的定时任务我之前清理的就是root用户的任务,但是过了几天发现kswapd0进程又自己启动起来了,排查root定时任务没有问题,然后继续排查别的用户的定时任务文件,发现了centos定时任务也有木马文件相关的目录
cd /var/spool/cronls vi centos如果发现了和之前root定时任务相似的木马目录,也清理下
rm -rf /home/centos/.configrc 6.杀掉kswapd0进程最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启
#kill -9 kswapd0进程的PIDkill -9 13955 7.修改服务器密码 # 我用的root登录,所以使用passwd修改的是root的密码passwd # 如果别的用户也被黑了,记得也修改下密码passwd centos 8.总结 就是跟着进程找找目录,然后杀进程,清目录,清定时任务服务器的ftp端口最好别用22,密码尽量设置复杂点尽量用密钥连接服务器,禁用账号密码连接封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)密码增强复杂性及时修补系统和软件漏洞参考文章: https://www.pianshen.com/article/12191662815/