和kswapd0挖矿病毒做斗争的一天

近期 通过 top 检查服务器状态,发现一个 kswapd0 进程占用cup 超高,负载接近100%
这种情况很是不科学啊,cup达到100%,基本上可以断定是被病毒入侵了

之前自己安装过es 服务,然后发现 启动 kswapd0 进程的用户是es,感到很奇怪,es 怎么会占用这么多cup呢???

后来百度查了下 kswapd0 发现这个东东是病毒,试着看看 系统路径下哪些目录存在这个东东 kswapd0,为什么es用户会有这些东东呢?(黑客通过破解es用户密码,进入服务器,植入挖矿病毒

[root@VM-0-6-centos ~]# find / -name kswapd0
/home/es/.configrc/a/kswapd0
/tmp/.X25-unix/.rsync/a/kswapd0

可以尝试先杀掉这个病毒进程

kill -9 kswapd0

你会发现过一会它又自己启动了,那么可以考虑肯定是定时任务重新又给跑起来了,那么我们来看看 系统 都有哪些定时任务

查看linux 所有用户的定时任务

  cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

输出结果,会看到es 用户有这么几个特殊的定时任务,我之前并没有搞过啊。。。 ,通过网上查证,下面这几个注释掉的定时任务都是 用来启动
kswapd0 病毒的,那么我们,只需要把这些定时任务关掉就好了


[root@VM-0-6-centos ~]# cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'
no crontab for bin
no crontab for daemon
no crontab for adm
no crontab for lp
no crontab for sync
no crontab for shutdown
no crontab for halt
no crontab for mail
no crontab for operator
no crontab for games
no crontab for ftp
no crontab for nobody
no crontab for systemd-network
no crontab for dbus
no crontab for polkitd
no crontab for libstoragemgmt
no crontab for rpc
no crontab for ntp
no crontab for abrt
no crontab for sshd
no crontab for postfix
no crontab for chrony
no crontab for tcpdump
no crontab for syslog
no crontab for mysql
no crontab for jenkins
no crontab for rabbitmq
#es 挖矿病毒定时任务

#1 1 */2 * * /home/es/.configrc/a/upd>/dev/null 2>&1
#@reboot /home/es/.configrc/a/upd>/dev/null 2>&1
#5 8 * * 0 /home/es/.configrc/b/sync>/dev/null 2>&1
#@reboot /home/es/.configrc/b/sync>/dev/null 2>&1
#0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

关于定时任务

linux 支持定时任务 再服务器安装系统时候,会自带并且启动定时任务,
每个用户都有自己的定时任务,文件名已用户名命名,它们可以创建,删除自己的定时任务,定时任务本来是可以让管理员 定期执行一些脚本,备份什么的,不过到了黑客这里就不那么友好了,总是通过定时任务反反复复启动一些病毒,没完没了。。。。

定时任务的目录在 /var/spool/cron 下面,我的服务器上面,只有root用户,和es 用户有定时任务

和kswapd0挖矿病毒做斗争的一天_第1张图片

看看es 文件中的内容

#es 挖矿病毒定时任务

#1 1 */2 * * /home/es/.configrc/a/upd>/dev/null 2>&1
#@reboot /home/es/.configrc/a/upd>/dev/null 2>&1
#5 8 * * 0 /home/es/.configrc/b/sync>/dev/null 2>&1
#@reboot /home/es/.configrc/b/sync>/dev/null 2>&1  
#0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

进入到es 文件,将所有内容全部删除,或者注释掉,(停掉es 用户相关的定时任务,因为es 用户已经被黑客破解密码,入侵,里面的这些定时任务,是用来启动病毒的)

然后,将 kswapd0 进程kill 掉,就行了,然后它就在也起不来了

最后修改es 用户的密码,注意!!!服务器上面所有用户的密码,都不要设置的很简单,黑客很容易通过简单的密码攻破你的服务器,植入病毒,切记!!1

你可能感兴趣的:(linux)