记一次服务器维护(矿机?)
早上来公司发现网络特别慢,上路由器一看,服务器占用带宽117MB/S,外网上行速度10MB/S跑满。因为当时同事在从服务器上拉数据,因此没有太过在意。稍后同事数据拉取完毕,带宽占用还是跑满,公司网络拓扑是路由器下接傻瓜交换机,于是上路由器的管理页面查看。
这边限制的5000,直接跑满,这个节点是服务器,ssh上去看一下
[root@superdesk etc]# top
top - 10:07:11 up 59 days, 20:36, 3 users, load average: 12.78, 12.34, 12.40
Tasks: 630 total, 1 running, 378 sleeping, 0 stopped, 0 zombie
%Cpu(s): 18.2 us, 23.6 sy, 0.0 ni, 57.0 id, 0.0 wa, 0.0 hi, 1.1 si, 0.0 st
KiB Mem : 11546534+total, 628032 free, 84015456 used, 30821860 buff/cache
KiB Swap: 8388604 total, 11796 free, 8376808 used. 27667568 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
25864 root 20 0 102744 4316 460 S 647.1 0.0 773:18.49 tnbqdmgaos
27368 qemu 20 0 9664092 8.3g 22496 S 347.1 7.5 2330:44 qemu-kvm
34206 qemu 20 0 17.2g 16.3g 11204 S 264.7 14.8 107375:14 qemu-kvm
23725 qemu 20 0 9448760 8.3g 19212 S 217.6 7.5 42865:08 qemu-kvm
27741 qemu 20 0 9421500 8.2g 20764 S 58.8 7.5 8409:34 qemu-kvm
18239 qemu 20 0 5592236 4.3g 22540 S 52.9 3.9 1443:50 qemu-kvm
39445 qemu 20 0 5466024 4.5g 14300 S 29.4 4.1 12636:58 qemu-kvm
8575 root 20 0 162600 4672 3684 R 11.8 0.0 0:00.03 top
20541 qemu 20 0 5037400 3.9g 18228 S 11.8 3.6 2972:31 qemu-kvm
8 root 20 0 0 0 0 D 5.9 0.0 18:45.86 kworker/u80:0+i
1605 qemu 20 0 5231440 4.1g 13244 S 5.9 3.8 6693:35 qemu-kvm
6054 qemu 20 0 2917816 1.9g 17528 S 5.9 1.7 890:59.24 qemu-kvm
19833 qemu 20 0 5038288 2.3g 18932 S 5.9 2.0 126:52.37 qemu-kvm
30862 root 20 0 40.1g 4.4g 9040 S 5.9 4.0 1685:02 java
1 root 20 0 193864 4680 2952 S 0.0 0.0 65:55.19 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:15.30 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-ev
9 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
10 root 20 0 0 0 0 S 0.0 0.0 15:58.25 ksoftirqd/0
11 root 20 0 0 0 0 I 0.0 0.0 95:26.31 rcu_sched
12 root rt 0 0 0 0 S 0.0 0.0 0:25.88 migration/0
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/0
15 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/1
16 root rt 0 0 0 0 S 0.0 0.0 0:25.62 migration/1
17 root 20 0 0 0 0 S 0.0 0.0 3:04.97 ksoftirqd/1
19 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/1:0H-kb
20 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/2
21 root rt 0 0 0 0 S 0.0 0.0 0:25.69 migration/2
22 root 20 0 0 0 0 S 0.0 0.0 1:31.33 ksoftirqd/2
24 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/2:0H-ev
25 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/3
发现一个名为tnbqdmgaos的进程跑满了服务器,询问同事之后得知不是项目内容。查看一下占用。
[root@superdesk etc]# ps -ef | grep 25864
root 8957 31241 0 10:07 pts/2 00:00:00 grep --color=auto 25864
root 25864 1 99 Mar31 ? 12:55:13 cd /etc
命令是cd /etc不应该占用这么大。kill掉
恢复正常,过了一会,top里又多出来一个奇怪的进程。怀疑是中毒了,继续kill,现在等了几分钟还没出来,等出来再看
补后续
临时在定时任务里加了一个脚本,kill掉CPU占用超过700%的进程。
在外网路由器上关闭了端口映射,更改了ssh端口,然后reboot了服务器
重启之后断掉了所有的ssh连接,因为关掉了外网端口映射,也不怕被主动攻击,停掉了定时任务。
kill掉新出现的病毒进程后发现它绑定在基础命令上,同时还篡改了一些基础命令。
参考了网上各种解决方案后,SLEEP掉了病毒进程,然后开启防火墙,此时发现无防火墙服务,重新yum安装基础命令及服务,开启防火墙。
然后又重新打开端口映射,手动开放端口,观察2天之后病毒未反复
编译安装了一个clamav杀毒软件,感觉并没有什么卵用