今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。
经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上检查了redis服务,果然我redis忘记设置密码了,被黑客攻击,自动下载木马程序并运行木马程序。于是我赶紧把redis服务停掉,当时我只是通过netstat -lnp 查看端口并用kill -9 【端口号】命令杀掉redis进程。接着我再kill 那个木马进程,发现过一会又启动了,于是我在网上查了一下资料,普遍的做法:
- 先用ls -l /proc/进程id/exe找出木马程序的执行文件,把文件删除。
- 在/tmp/目录里查找可疑文件,并把可疑文件备份后删除
- 用crontab -l命令查看所有定时任务,并把定时任务删除,如果没有定时任务,则查看/etc/crontab文件的内容,看看是否有任务。