linux服务器中毒排查过程

真实案例:
公司一台线上redis服务器前段时间在空闲状态下cpu也一直处于100%的状态,在查看对应进程的CPU后,发现一个奇怪的问题,平均CPU使用率远远大于redis进程、其它两个进程的所占用的CPU总和,但是top命令查看不到对应的占用过高的进程,于是初步怀疑有两种可能:1.硬件问题 2.服务器受到***CPU病毒的***
排查思路:
1.因为是最新购买的云服务器,基本排除硬件问题(腾讯云监控会有报警)
2.确定是病毒惹的祸:
2.1:查看定时任务,发现有来历不明的定时任务在跑,里面的内容都是乱码;然后把里面相关的内容删除,但是一段时间后CPU依然接近100%,说明这个东西肯定是跑一些程序***CPU的;
2.2:怀疑此病毒修改了内核,让top无法读取到对应的pid;
2.3根据自己平常使用的工具perf,不妨尝试查找一下,果然在使用perf top -s comm,pid,symbol命令后发现很多不明执行程序,然后根据PID,在/proc/PID号查找.exe执行文件路径,然后去到相对应的文件目录删除!

相关推荐