Linux系统耗用CPU的异常进程处理一例 - 十个随机字符进程名称

一网友说,某主机商禁止了VPS的互联网,因为有异常行为。在top命令下查看,有一个进程占用较多的CPU资源,且强制退出几分钟后又会重新出现。

网上搜索得这篇文章,http://blog.51cto.com/zhuxingye/1735794 ,基本相符。所以实践如下:

1.top 命令,显示有一个 hcvlsajtls 名称的进程,占用了25.2%的CPU
10-names-linux-cpu-0.png

2.crontab -e ,查看任务列表,有一条异常内容,/var/.syslog
10-names-linux-cpu-1.png

3.service --status-all 查看服务列表,有一项和进程同名的异常服务,hcvlsajtls
10-names-linux-cpu-2.png

4./etc/crontab 的内容,每隔三分钟,运行 /etc/cron.hourly/gcc.sh
10-names-linux-cpu-3.png

5./etc/cron.hourly/gcc.sh 的内容,异常文件 /lib/libudev.so
10-names-linux-cpu-4.png

6.rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab # 删除 /etc/cron.hourly/gcc.sh 文件,且不允许修改 /etc/crontab 文件
10-names-linux-cpu-5.png

7.kill -STOP 5090 # 查找到新异常进程zeckmkmbsr的ID,本例是 5090,用 kill 命令停止它,没有强制退出
10-names-linux-cpu-6.png

8.find / -name '*zeckmkmbsr*' | xargs rm -f # 在整个系统中查找出同名的文件,都删除(好象有点暴力,会不会误删其它文件?)
10-names-linux-cpu-7.png

9.pkill zeckmkmbsr && rm -f /lib/libudev.so # 强制退出异常的进程,且删除异常文件 /lib/libudev.so
10-names-linux-cpu-8.png

10.重启系统后,用top再观察十分钟,没看到10个随机字符的进程了
10-names-linux-cpu-9.png

参考:http://blog.51cto.com/zhuxingye/1735794

标签: CPU

添加新评论