測試反饋,介面請求超時,一直轉圈圈。初步懷疑是伺服器問題。要麼程式down掉,要麼伺服器有任務在跑。
1.top
發現有個程式ssh-daemon 佔用率達到199.0% 初步確認程式問題。
2.pidstat
檢視不出什麼問題來。跟top差不多。
3.kill -9
執行kill命令,將程式殺死,然後重新執行top命令。我擦 這貨又出來了。懷疑被人動了手腳。
3.crontab -e
進入crontab,發現這麼一行:
`* * * * * /bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nu/ssh-daemon &> /opt/nu/log &"`
所以就是他了。
首先,刪除crontab 儲存。
* * * * * /bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nu/ssh-daemon &> /opt/nu/log &"
`:wq` 儲存。
將安裝目錄刪除。命令:
進入資料夾
cd /opt/nu/
ls -al
發現執行檔案ssh-daemon.
刪除之。
另外發現 service檔案,`cat` 檢視 發現就是crontab中的那行命令.
刪除.
還有個log 刪除.
清除程式
執行命令: ps -ef | grep ssh-daemon | grep -v grep | awk '{print $2}' | xargs kill -9
再次top
發現CPU正常.
網上查閱 發現有很多人都中了招.阿里雲伺服器會報警.但是我的伺服器不是通過阿里雲買的,沒收到報警.
網站入口排查
進入 ssh 目錄 `cd /root/.ssh/`
`cat authorized_keys` 發現不知名的key.刪除之.
`cat known_hosts` 發現host 刪除之。
原有目錄排查。
執行命令`cd /opt` `ls`
發現一個紅色的zip包。解壓。
`cat service` 發現就是那個命令。然後百度了xmrig.這尼瑪是門羅幣挖礦工具啊。
全部刪除。
初步思考是通過git克隆了程式然後mv換了名字,最後直接加入crontab。
網上說 redis漏洞會導致這個問題, 最好修改redis的埠與繫結ip.還有就是最好禁止掉伺服器的git.
因為之前我下載了個phpRedisAdmin 懷疑是這個程式內部有問題。等回頭看下吧。現在先修改伺服器密碼了。