Linux入侵挖矿处理记录
- 突然收到系统告警,cpu使用超50%以上,实际周末业务低谷期,不会使用这么高的cpu使用率。
解决思路
-
系统基础命令被替换导致,无法展示隐藏的进程或者其他信息,使用BusyBox 命令代替基础命令,能输出完整信息。
- 下载地址
https://www.busybox.net/downloads/binaries/1.30.0-i686/busybox
- 下载地址
-
使用busybox top命令
- 使用busybox top命令,可以清楚发现异常进程占用cpu超50%,
- 找到进程文件,清理该文件
- 进入/proc目录下找到对应pid,查看environ文件,SSC_ARGV0=就是程序本身,删除该文件后,重启服务器看是否还会有异常进程。
