起因
今天凌晨突然发现博客速度特别慢,甚至不能访问,于是,我熟练的按下了F12键并在心里多次暗骂了腾讯云,发现博客资源文件全部都在pending,这说明请求发出去,服务器在正常的情况下没有及时给出响应。
然后,就是登录控制台,摸索了各个功能,找到了监控,发现CPU和内存基本都爆满了,在流量监控中,带宽被拉满持续时间过长,正常情况下少得可怜
解决方案
查看网络连接情况
bash
netstat -antlp1
可以看出有两个45开头IP地址代表的kswapd0和rsync进程显得特殊,通过IP地址查询,是荷兰地址,kswapd0和rsync确认是木马文件,心里又暗骂了下腾讯云
接着,查看具体进程文件位置
bash
ls -l /proc/1735/exe1
接着删除掉它,下面命令一定要注意路径
bash
rm /root/.configrc -rf1
然后再来看看 netstat -antlp
通过kill命令杀掉进程 kill -9 1735
这时看到腾讯云控制台i的CPU占用率已经下来了
现在看正在执行的45开头的进程是没有了,可是有一个等待中的进程,不禁让我想到了定时器,虽然这两者没有关联……
于是
bash
crontab -l # 列出所有的定时任务1
嗯?
嗯??
嗯???
不看不知道,一看吓一跳,直呼好家伙
执行命令全部删掉删掉
bash
crontab -r1
总结
bash
# 查看进程占用
top
# 查看不合理的网络连接
netstat -antlp
# 查看IP所在地址
# 列出不合理IP地址对应进程文件位置
ls -l /proc/<进程ID>/exe
# 查看文件位置下的所有文件
ls <文件位置> -a
# 删除文件位置下的所有文件,【此操作不可逆】
rm <文件位置> -rf
# 验证CPU是否已经降下来
# 查看定时任务
crontab -l
# 删除定时任务
crontab -r12345678910111213141516
写作最后
在这里要向腾讯云郑重道歉
腾讯云不仅在账号那里有消息提示,而且还有短信提醒,而且还是在4月4号,据今已有10天
是我自己选择了忽略,从阿里云频繁给我发短信养的习惯,现在估计阿里云服务器上,好多木马……
我就说有几天有几个时刻特别特别慢,我还不小心骂了很多遍腾讯云
木马确实就是那两个文件
一定要注意来自服务器厂商的告警信息
评论 (0)