> 文档中心 > 云服务器被攻击解决记录

云服务器被攻击解决记录


云服务器被攻击解决记录

一、找到进程(一般cpu占用在100%以上)

#查询cpu占用前10

ps auxw|head -1;ps -auxf|sort -nr -k3|head -10

二、找到问题文件位置

#首先根据pid进入到相关目录
cd /proc/(pid)

cd /proc/29539

找到exe ->后面的文件位置

789721123 lrwxrwxrwx   1 ops  ops  0 May 10 12:18 cwd -> /var/tmp789833111 -r--------   1 ops  ops  0 May 10 12:24 environ789722333 lrwxrwxrwx   1 ops  ops  0 May 10 12:18 exe -> /var/tmp/xxxx

删除文件

rm -rf /var/tmp/xxxx

结束进程

kill  29539

三、检查定时任务

如果结束进程后又马上被启动 或文件又被下载回来,就检查一下定时任务
如crontab
#查看定时任务(可以切换不同用户查询定时任务)详情命令:Linux crontab 命令

crontab -l

查询结果:

0 */6 * * * /usr/bin/xxxx -n /var/tmp/xxxx -c ........

删除所有定时任务

crontab -r

四、修改密码

输入原密码 和新密码(新密码两次)
最好所有用户都改一下

passwd 

五、云安全中心

如果还是解决不了,被一直攻击启动,可以领取阿里云安全中心的云顿7天免费,点击问题修复