现象:系统cpu持续使用过高,造成无法远程连接
分析过程:一开始机器不能远程登录,但又能够ping通,登录信息也没有修改过,判断可能远程登录服务故障,后登录机器top发现,cpu使用率百分百,这很不正常,上面只运行了一个网站与数据库,发现异常进程kswapd0,查找资料后发现其是挖矿程序
解决方案:排查kswapd0进程 top
执行命令 netstat -antlp | grep kswapd0 查询该进程的网络信息
ps -ef | grep kswapd0 查看进程的工作空间
切换到木马程序目录并删除 rm -rf
查看并清理定时任务 crontab -e
删除可疑多余的用户 vi /etc/passwd
防火墙开放端口设置 firewall-cmd –zone=public –list-ports
增强密码复杂性 passwd
文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/6364
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1、入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root…
一、tcping介绍tcping:tcping命令基于tcp协议监控,可以从较低级别的协议获得简单的,可能不可靠的数据报服务。 原则上,TCP应该能够在从容硬线连接到分组交换或电路交换网络的各种通信系统之上操作。 二、tcping与ping的区别(一).指代不同①ping:1、ping:是Windows、Unix和Linux系统下的一个命令。ping也属于一…
由于需要批量永久修改IP,研发提供的脚本是基于修改interfaces的,所以需要使用ifupdown,高版本的ubuntu使用的都是NetworkManager 卸载 NetworkManager 可能会影响你的网络连接配置,因此在卸载之前确保有其他方式管理网络连接。 步骤 1:备份当前配置 在卸载 NetworkManager 之前,最好备份当前的网络配…
今天使用国内云服务器部署lnmp环境,发现下载安装宝塔失败 报连接超时错误,使用ping 测试也ping不通,不排除禁止ping可能性, 云服务器国内地区的用户,可以尝试执行下面的命令,指定节点解决此问题, https://www.bt.cn/bbs/thread-87257-1-1.html 宝塔论坛上的解决方式 windows面板的操作方式如下:win的…
系统异常断电,重启时发现的问题 1,无法找到系统启动的引导文件 2,通过ls (hd0,gpt1)/ 查询到引导文件所在位置 挂载系统镜像,进入系统救援模式 首先进入的是挂载镜像的根目录,不需要密码,回车可进入 输入exit 根据提示填写1,进入读写模式 重新生成系统内核 1,进入本机系统文件系统,chroot /mnt/sysroot,查看/boot下内容…
