1、查看进程
[root@slave01 ~]# top
top - 13:58:40 up 110 days, 4:19, 3 users, load average: 22.03, 21.08, 21.10
Tasks: 239 total, 1 running, 238 sleeping, 0 stopped, 0 zombie
%Cpu(s): 99.2 us, 0.8 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 13186205+total, 38132016 free, 43727792 used, 50002248 buff/cache
KiB Swap: 4194300 total, 4194300 free, 0 used. 83361856 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
19254 admin3 20 0 3797164 2.3g 2152 S 1531 1.8 1257:24
7672 ams 20 0 4395256 2.2g 13992 S 18.8 1.7 93535:49 java
2、查看异常进程目录方法:
pwdx 19254
ps -ef|grep 19254
ps -aux|grep 19254
lsof -c COMMAND名
3.删除异常定时任务
cd /var/spool/cron
查看下面的定时任务文件,删除一次定时任务
4.查看进程目录
[root@master02 bin]# pwdx 21046
21046: /dev/shm/ /.oznminerv2
5.进入目录,找到异常用户目录为空
[root@master02 bin]# cd /dev/shm/
[root@master02 shm]# ls -al
total 0
drwxrwxr-x 3 421600060 421600060 60 Feb 28 18:37
drwxrwxrwt 3 root root 60 May 27 11:24 .
drwxr-xr-x 19 root root 3060 Apr 2 15:59 ..
6.进入异常目录,查看异常文件
注:异常目录为空,复制空格(第一个空格不是),用引号转译。 再cd进入。
[root@master02 shm]# cd " "
[root@master02 ]# ls -al
total 0
drwxrwxr-x 3 421600060 421600060 60 Feb 28 18:37 .
drwxrwxrwt 3 root root 60 May 27 11:24 ..
drwxr-xr-x 2 421600060 421600060 220 May 27 18:35 .oznminerv2
7.杀掉进程
[root@master02 ]# kill -9 21046
8.删除整个目录
[root@master02 bin]# cd /dev/shm/
[root@master02 shm]# rm -rf " "
原因1:
通过netstat -lntupa命令查看是否有未知IP在进行发包
tcp6 1 0 0.116:34892 114.115.192.97:80 CLOSE_WAIT 1203/java
netstat -antlp 查找入侵的ip
lsof -c 根据commond查找文件
systemctl status pid 找出守护进程
crontab -r
ps -ef|grep curl
查到异常ip,80端口,考虑可能是通过80端口攻击进来。关闭80端口,重新执行上面的删除文件目录和kill进程的步骤