本文讲述了作者如何通过Zabbix监控发现服务器CPU使用率异常,追踪到异常进程kthreaddk,识别其为病毒文件。通过删除文件、关闭无用端口、管理git用户crontab、调整文件权限等步骤,最终定位并解决了病毒引发的问题。
今日在zabbix上查看到某台服务器的CPU使用率过高(几乎100%)。进入服务器top查看到一个异常的进程kthreaddk。
第一步:kill掉对应pid之后还会继续出现,意识到这是病毒文件,会一直不停的产生。
第二步:ll /proc/pid/exe 查看具体的文件地址,可以直接删除。但发现该文件会自动删除,并再次生成其他文件在另外的目录下,如此不停循环。
第三步:关掉对外的无用端口,看到机器上开了很多的端口对外,但其实本身意义不大,直接在后台对外关闭。
第四步:查看到该进程的管理用户是git。检查git用户的crontab。果然有定时任务在里面,且删掉之后还会继续产生,所以直接删除是无效的,之后又尝试停掉crontab服务【systemctl stop crond】,但依旧无效。
第五步:该进程一直用git用户操作,但细想,其实git用户的权限是很小的,不该有权限在出问题的目录下不停的产生&删除目录和文件。检查发现服务器上的某个目录权限居然是drwxrwxrwx,后将该目录的权限全部修改为drwxr-xr-x【chmod -R 755 /dir】。
至此,问题得以解决。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
