怎么解決殺不死的服務器進程

本篇內容介紹了“怎么解決殺不死的服務器進程”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

1. 發現問題：

• 服務器今天發現遭受木馬攻擊，疑似挖礦程序植入，cpu一路飆升至99%，導致其他程序異常卡頓。

• 機智的我上來一個top命令讓程序現出原形，結果發現一個dvjj的進程耗盡了資源。

2. 解決問題

• 接著，查看這個命令是從哪里的啟動的，發現沒有什么有用的信息。

• 那我換個方式，根據PID查看此進程的詳細信息：ll /proc/19718 

• Linux在啟動一個進程時，系統會在/proc下創建一個以PID命名的文件夾，在該文件夾下會有我們的進程的信息，其中包括一個名為exe的文件即記錄了絕對路徑，通過ll或ls –l命令即可查看。

• 好家伙，看看這個dvjj到底寫了些啥：cat /etc/dvjj，一堆火星文字刷屏，嚇得我連按幾個ctrl+c才退出。

• 既然看不懂，我就不看嘛，刪掉你：rm –rf /etc/dvjj，同時提示我有一封郵件，You have new mail in /var/spool/mail/root，于是查看郵件：cat /var/spool/mail/root，瘋狂輸出日志，好像是一直在下載什么東西

• 不管了，先干掉再說吧：kill -9 19718，再次查看資源:top。怎么又起來了，中度郁悶中，殺不死的小強

• 由于此程序會自動運行，立馬想到定時任務，因此查看所有定時任務（系統級別和用戶級別）系統級別的任務如下：

• 查看用戶級別的定時任務：cd /var/spool/cron/ ，只有一個用戶和組都是root 的root文件

• 查看定時任務內容：crontab –l，似乎是和redis相關的一堆自動下載任務，每隔幾分鐘就會執行一次

• 既然如此，就刪除當前用戶的所有定時任務：crontab -r，提示我無法執行，我可是草雞用戶啊，怎么能這樣對我。。。。。

• 并且crontab –e 編輯命令均沒有作用。最后，我決定采用rm –rf root 刪除

• 怎么這個文件既不能編輯也不能刪除，太奇怪了！！這時，有兩個命令可以派上用場：

chattr:可以修改文件系統屬性，防止root用戶誤操作

lsattr: 查看文件系統屬性

man chattr 可以查看命令使用詳情

a 表示只能追加

e 表示文件使用區段映射磁盤上的塊

• 去除文件屬性：chattr –ae root，但是依然不能刪除，那就采用編輯此文件，成功刪除里面的內容，心頭一喜。

• 查看root文件：cat root，無任何內容。另外，需要對這些定時任務文件修改屬性：chattr +i  files，防止篡改

• 修改執行文件/etc/dvjj的權限，由于此文件一直在增加內容，所以先刪除后再新建一個空內容的文件，并且防止其修改：chattr +i /etc/dvjj

• 查看進程樹pstree，可以看到dvjj還有5個后臺進程，因此是殺不死的

• 查看此進程下的所有任務：ll /proc/11080/task，共六個程序

• 查看進程所打開的端口和文件，lsof -p PID

• 查看其中一個文件：cat /usr/lib64/ld-2.17.so，發現同樣亂碼，經過查詢可以用strings命令進行轉化，比如：

strings /usr/lib64/ld-2.17.so > virvus.txt

• 然后再進行查看，前后折騰一番，但是我沒有找到有用的信息。

• 既然如此我就修改其木馬文件權限：chmod 600 /usr/lib64/ld-2.17.so，讓其無法執行，并且鎖定文件：chattr +i /usr/lib64/ld-2.17.so

• 上圖中可以看到此連接的ip和端口：47.102.39.92：13531，封掉此ip和端口。

echo sshd:47.102.39.92 >> /etc/hosts.denyiptables -I INPUT -s 47.102.39.92 -ptcp --dport 13531 -j DROPiptables -I OUTPUT -s 47.102.39.92 -ptcp --dport 13531 -j DROP

• 接下來，再次殺死dvjj進程，反復查看進程，終于搞定這個殺不死的進程了。你以為這樣就完了，并沒有。。。。。輸入：netstat -apntl，服務器還在嘗試與對方握手，因為禁了ip所以連接不上！！！！！！ 

3. 最后，檢查啟動項的文件

• 檢查最基本的開機啟動項配置文件，嘗試在開機啟動文件中看看有沒有可疑程序，如有有記得刪除

  ls /etc/rc*/init.d
  ls /etc/rc*/

  
  

• 檢查chkconfig方法配置的自啟動的服務：chkconfig --list

• 關機重啟，搞定

“怎么解決殺不死的服務器進程”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！