国际腾讯云：云服务器疑似被病毒入侵问题解决方案！！！

云服务器可能由于弱密码、开源组件漏洞的问题被黑客入侵，本文介绍如何判断云服务器是否被病毒入侵，及其解决方法。

问题定位

使用 SSH 方式 或 使用 VNC 方式 登录实例后，通过以下方式进行判断云服务器是否被病毒入侵：

rc.local 被增加恶意命令

执行以下命令，查看 rc.local 文件。

cat /etc/rc.local 

若输出信息为非业务或公告镜像添加的命令，例如 wget xx  及 /tmp/xx 等，则云服务器已大概率被病毒入侵。

crontab 被增加恶意任务

执行以下命令，列出目前的时程表。

crontab -l

若输出信息为非业务或公告镜像添加的命令，例如 wget xx  及 /tmp/xx 等，则云服务器已大概率被病毒入侵。

ld.so.preload 增加动态库劫持

执行以下命令，查看 /etc/ld.so.preload 文件。

cat /etc/ld.so.preload

若输出信息为非业务增加的动态库，则云服务器已大概率被病毒入侵。

sysctl.conf 配置大页内存

执行以下命令，查看大页内存使用情况。

sysctl -a | grep "nr_hugepages "

若输出非0，且业务自身程序并未使用大页内存，则云服务器已大概率被病毒入侵。

处理步骤

1. 参见 创建快照，完成系统数据备份。