服务器病毒
1.服务器测试,进去习惯性top一下发现CPU使用异常
2.用netstat -antlp查看了下系统外部连接,发现存在荷兰的ip占用kswapd0进程和rsync进程,经查询后rsync是一个数据传输工具
3.此时开始查找进程占用的文件路径
4. 核查后删除文件,并kill -9 pid 强制杀死进程, 至此cpu降下来了
5. 检查有无定时任务
#crontab -l
发现病毒还给我起了好多定时启动和重启启动的脚本。
#crontab -e #打开crontab执行命令
然后直接删除需要删除的定时任务指令之后完成保存即可
6.其他命令
- ps aux | grep xxx #查看某进程的状态
ps aux输出格式:
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
格式说明:
USER: 行程拥有者
PID: pid
CPU: 占用的 CPU 使用率
MEM: 占用的记忆体使用率
VSZ: 占用的虚拟记忆体大小
RSS: 占用的记忆体大小
TTY: 终端的次要装置号码 (minor number of tty)
STAT: 该行程的状态,linux的进程有5种状态:
D 不可中断 uninterruptible sleep (usually IO)
R 运行 runnable (on run queue)
S 中断 sleeping
T 停止 traced or stopped
Z 僵死 a defunct (”zombie”) process
注: 其它状态还包括W(无驻留页),
START: 行程开始时间
TIME: 执行的时间
COMMAND:所执行的指令
- ps -ef | grep xxx #ps -ef是显示某进程的消息
ps:将某个进程显示出来
-A 显示所有程序。
-e 此参数的效果和指定"A"参数相同。
-f 显示UID,PPIP,C与STIME栏位。
grep命令是查找
中间的|是管道命令 是指ps命令与grep同时执行
这条命令的意思是显示有关xxx有关的进程
UID PID PPID C STIME TTY TIME CMD
各相关信息的意义:
UID 程序被该 UID 所拥有
PID 就是这个程序的 ID
PPID 则是其上级父程序的ID
C CPU 使用的资源百分比
STIME 系统启动时间
TTY 登入者的终端机位置
TIME 使用掉的 CPU 时间。
CMD 所下达的指令为何
- kill -9 pid
# kill -9 564 1196 # 强制杀死进程564,1196
- rm -rf /root/.configrc/
# rm -rf /root/.configrc/ #删除目录.configrc及子目录文件
- mv test1 test2
#将test1重命名为test2
mv命令用来对文件或目录重新命名,或者将文件从一个目录移到另一个目录中
-
netstat -antlp | grep xxx
#查询该进程的网络信息 -
netstat -antlp | grep 45.9.148
#查询该地区ip的其他网络占用情况