云服务器可能由于弱密码、开源组件漏洞的问题被黑客入侵,本文介绍如何判断云服务器是否被病毒入侵,及其解决方法。
问题定位
使用 SSH 方式 或 使用 VNC 方式 登录实例后,通过以下方式进行判断云服务器是否被病毒入侵:
rc.local 被增加恶意命令
执行以下命令,查看 rc.local 文件。
cat /etc/rc.local 若输出信息为非业务或公告镜像添加的命令,例如 wget xx 及 /tmp/xx 等,则云服务器已大概率被病毒入侵。
crontab 被增加恶意任务
执行以下命令,列出目前的时程表。
crontab -l若输出信息为非业务或公告镜像添加的命令,例如 wget xx 及 /tmp/xx 等,则云服务器已大概率被病毒入侵。
ld.so.preload 增加动态库劫持
执行以下命令,查看 /etc/ld.so.preload 文件。
cat /etc/ld.so.preload若输出信息为非业务增加的动态库,则云服务器已大概率被病毒入侵。
sysctl.conf 配置大页内存
执行以下命令,查看大页内存使用情况。
sysctl -a | grep "nr_hugepages "若输出非0,且业务自身程序并未使用大页内存,则云服务器已大概率被病毒入侵。
处理步骤
- 参见 创建快照,完成系统数据备份。