CPU 마이닝 문제 해결 계획

/root/.ssh/authorized_keys 보기

Authorized_keys 파일에 공개 키가 있는 경우 제때에 정리하거나 파일을 삭제하세요.

rm을 사용하여 파일 및 폴더를 삭제할 때 프롬프트: rm: "bash"를 삭제할 수 없습니다: 작업이 허용되지 않습니다.

해결 방법:

2. CPU 사용량이 기본적으로 가득 찼습니다(사용자 모드). , no 의심스러운 프로세스를 발견했으며 처음에는 프로세스가 어딘가에 숨겨져 있을 수 있다고 의심했습니다.

데몬 프로세스일 수 있습니다.

ps -aux --sort=-pcpu| head -10

dns 확인

물론, dns가 수정되었습니다.

예약된 작업이 추가된 것을 발견했습니다.

0 * /8 * * * root /usr/lib/libiacpkmn

예약 작업 내 의심 파일 경로에 따르면 /usr/lib/libiacpkmn

조사 중 / etc/rc.d/init.d/를 찾았습니다. nfstruncate 실행 파일은 /usr/bin/에 있습니다.

S01nfstruncate 파일은 rc0.d-rc6.d 디렉터리에 있을 수 있습니다. 자동 시작 파일.

이제 문제 해결이 매우 명확해졌습니다. 이제 정리 작업을 시작하겠습니다.

CPU를 점유하는 프로그램의 PID를 관찰하려면 top 명령을 사용하세요.

p>

프로그램이 있는 디렉토리를 보려면 PID를 사용하십시오. ls /proc/{PID}/

프로그램이 실행 중인 디렉토리를 보려면 ll /proc/{PID}를 실행하십시오.

이 프로그램이 계속 실행될 수 없도록 모든 파일의 권한을 000으로 변경하십시오: chmod 000 -R *

그런 다음 kill -9 {PID}

보충:

crontab -l을 실행하여 실행 중인 의심스러운 예약 작업이 있는지 확인하세요. 그렇다면 제때에 삭제해 주세요(crontab -r)

위의 문제 해결 방법을 통해 단계를 보면 cron 프로그램이 /root/.bashtemp/a 디렉토리에서 실행되고 있는 것을 볼 수 있지만 /root/.bashtemp/ 디렉토리에 그러한 프로그램이 많기 때문에 실행하려면: chmod 000 -R * 모든 악성 프로그램의 권한 지우기

일반적으로 악성 프로그램은 위의 단계를 통해 종료될 수 있지만, 유사한 상황이 발생하는 것을 피하기 위해 범죄자가 여전히 다른 백도어 프로그램을 갖고 있을 가능성도 배제할 수는 없습니다. 향후에는 기본 원격 포트 변경, 방화벽 규칙 구성, 보다 복잡한 비밀번호 설정 등 재침입을 방지하기 위해 서버의 보안을 강화하시기 바랍니다.

비고: 일부 정보는 /p/96601673을 참조하세요.