本文记录了一次解决服务器CPU占用率异常高,导致项目无法正常启动的问题过程。通过使用top和pstree命令定位到异常进程suppoie,进一步通过find命令找到并删除恶意文件,最终确定服务器被用于非法挖矿活动,并成功清除。
1. 发现cup爆满
当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程
然后我再查看pstree进程树
2.杀死进程
kill -9 pid
杀死进程suppoie 进程后,过一分钟该进程又起来了
3. 查找源文件
杀死进程又起来,肯定是有源文件在远程调用其他远程文件植入病毒,查询源文件
find / -name '*suppoie*'
查找到了文件 在 /var/tmp 目录下 如下图
然后删除 suppoie , supsplk,config.json 文件
然后过了一会suppoie进程又起来了,那说明上面删除的文件是生成的文件,不是源文件
然后查看abrt文件夹下的文件内容
说明是远程下载图片sh脚本执行的,所以找到了罪魁祸首,杀死进程,删除这个文件,搞定了,再也没有suppoie进程了
我们的服务器被别人当成挖矿的肉鸡了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
