云服务器被攻击解决记录
云服务器被攻击解决记录
一、找到进程(一般cpu占用在100%以上)
#查询cpu占用前10
ps auxw|head -1;ps -auxf|sort -nr -k3|head -10
二、找到问题文件位置
#首先根据pid进入到相关目录
cd /proc/(pid)
cd /proc/29539
找到exe ->后面的文件位置
789721123 lrwxrwxrwx 1 ops ops 0 May 10 12:18 cwd -> /var/tmp789833111 -r-------- 1 ops ops 0 May 10 12:24 environ789722333 lrwxrwxrwx 1 ops ops 0 May 10 12:18 exe -> /var/tmp/xxxx
删除文件
rm -rf /var/tmp/xxxx
结束进程
kill 29539
三、检查定时任务
如果结束进程后又马上被启动 或文件又被下载回来,就检查一下定时任务
如crontab
#查看定时任务(可以切换不同用户查询定时任务)详情命令:Linux crontab 命令
crontab -l
查询结果:
0 */6 * * * /usr/bin/xxxx -n /var/tmp/xxxx -c ........
删除所有定时任务
crontab -r
四、修改密码
输入原密码 和新密码(新密码两次)
最好所有用户都改一下
passwd
五、云安全中心
如果还是解决不了,被一直攻击启动,可以领取阿里云安全中心的云顿7天免费,点击问题修复