服务器病毒

1.服务器测试,进去习惯性top一下发现CPU使用异常

2.用netstat -antlp查看了下系统外部连接,发现存在荷兰的ip占用kswapd0进程和rsync进程,经查询后rsync是一个数据传输工具

 

 

 

3.此时开始查找进程占用的文件路径

4. 核查后删除文件,并kill -9  pid 强制杀死进程, 至此cpu降下来了

 

 

 5. 检查有无定时任务

#crontab -l

 

    发现病毒还给我起了好多定时启动和重启启动的脚本。

#crontab -e  #打开crontab执行命令

 

然后直接删除需要删除的定时任务指令之后完成保存即可

 

6.其他命令

  • ps aux | grep xxx  #查看某进程的状态

ps aux输出格式:

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

格式说明:

USER: 行程拥有者

PID: pid

CPU: 占用的 CPU 使用率

MEM: 占用的记忆体使用率

VSZ: 占用的虚拟记忆体大小

RSS: 占用的记忆体大小

TTY: 终端的次要装置号码 (minor number of tty)

STAT: 该行程的状态,linux的进程有5种状态:

D 不可中断 uninterruptible sleep (usually IO)

R 运行 runnable (on run queue)

S 中断 sleeping

T 停止 traced or stopped

Z 僵死 a defunct (”zombie”) process

注: 其它状态还包括W(无驻留页),

START: 行程开始时间

TIME: 执行的时间

COMMAND:所执行的指令

 

  • ps -ef | grep xxx  #ps -ef是显示某进程的消息

ps:将某个进程显示出来

-A  显示所有程序。 

-e  此参数的效果和指定"A"参数相同。

-f  显示UID,PPIP,C与STIME栏位。 

grep命令是查找

中间的|是管道命令 是指ps命令与grep同时执行

这条命令的意思是显示有关xxx有关的进程

UID PID PPID C STIME TTY TIME CMD

各相关信息的意义:

UID 程序被该 UID 所拥有

PID 就是这个程序的 ID 

PPID 则是其上级父程序的ID

C CPU 使用的资源百分比

STIME 系统启动时间

TTY 登入者的终端机位置

TIME 使用掉的 CPU 时间。

CMD 所下达的指令为何

  •  kill -9 pid

# kill -9 564 1196 # 强制杀死进程564,1196

  • rm -rf /root/.configrc/

# rm -rf /root/.configrc/    #删除目录.configrc及子目录文件

  • mv  test1 test2 

#将test1重命名为test2

mv命令用来对文件或目录重新命名,或者将文件从一个目录移到另一个目录中

  •  netstat -antlp | grep xxx #查询该进程的网络信息
  • netstat -antlp | grep 45.9.148  #查询该地区ip的其他网络占用情况

posted @ 2021-07-12 19:51  一个九  阅读(183)  评论(0编辑  收藏  举报