Centos服务器CPU占用异常,Macron是个什么进程,结束进程之后还存在,如何彻底清除Macron木马程序
工具/原料
-
FinalShell
方法/步骤
-
1
查看资源占用情况,使用top命令结合finalShell 工具查看资源占用情况,找到高占用进程
-
2
找到对应进程ID,查看进行信息,cd /proc/[pid] ,记录重点位置 /tmp/Macron
Macron 是挖矿木马 有定时任务,直接删除该目录后无法彻底解决问题,还需要找出对应的定时脚本
-
3
查看所有定时任务信息
cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
看到 IP 来自美国纽约,附上获取的shell脚本 没做仔细研究 有兴趣的可以看下
通过systemctl status [pid] 查看信息
-
4
从上个步骤中可以看到 定时任务执行用户是git 查看crontab 用户配置,找到罪魁祸首,下一步杀掉他
-
5
删除Crontab 任务,删除/tmp/Macron等文件 资源占用下来了
END
注意事项
-
/tmp/下以uhak开头的文件和文件夹都要删除
-
删除文件命令与进程杀死命令一起执行 不然进程还会出现
-
多利用systemmclt status [pid] 查看病毒程序信息
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。
作者声明:本篇经验系本人依照真实经历原创,未经许可,谢绝转载。
展开阅读全部
文章评论