应急响应-ubuntu系统cpu飙高
这里写目录标题
- 一、排查过程
- 二、处置过程
- 三、溯源总结
一、排查过程
1、查看CPU使用情况
top -c
2、查看异常进程的具体参数
ps -aux
3、通过微步查询域名信息
4、查看异常进程的监听端口
netstat -anlpt
5、查找服务器内的异常文件
ls
cat run.sh
cat mservice.sh
6、查看脚本文件的创建时间以及程序的访问时间
stat mservice.sh
stat run.sh
stat /opt/xxxx/xxx/xxx/xxx
根据时间信息,判断入侵流程
7、查看服务器日志信息
/var/log/auth.log 登录日志
确认攻击IP
8、查看系统自启动服务
sudo systemctl list-unit-files | grep enabled
二、处置过程
1、清楚病毒以及脚本或者把整个有问题的目录给删掉
rm -rf mservice.sh run.sh /opt/xxxxx/
2、停止关闭自启动服务
servic stop 服务名 && service disable 服务名
3、由于不存在定时任务,可以不用清除
crontab -l :表示列出所有的定时任务
crontab -r :表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
4、对用户命令进行修改。改为强口令