记一次服务器中木马导致cpu占用高的问题

最近搭建个人博客，发现才放了一个nginx和一个很简单的java后台cpu占用率就居高不下，然后用top命令查看果然有问题

其中这个networkservice 和sysupdate占用很高，原本还以为是系统相关的进程，但是想想如果是系统相关的进程不可能占用这么高，一头雾水的情况下各种谷歌百度，然后发现这些奇怪的进程应该是服务器中了挖矿之类的病毒。找了很久终于找到解决方案。

1 . 首先查看cpu占用高的进程的目录地址

使用top已经知道了进程号，接下来看看位置，命令ls -l proc/{进程号}/exe

2. 删除这些脚本病毒可能设置的任务

可以通过crontab -l 来查看当前用户的定时任务，将不是自己定义的任务删除

删除命令

crontab –e

3. 杀掉这些占用高的进程

kill -9 杀掉进程后，进入这个进程的目录下

4. 删除进程文件

一般直接用rm -rf 是删不掉的，可以使用lsattr -a 查看文件属性

类似如下

如果发现病毒文件前面有i 代表这个文件被锁了，需要先解锁才能删除

5. 使用chattr命令解锁文件

但是我的服务器上chattr这个命令被删除了（可能是病毒导致的），只能尝试重新安装

yum install chattr -y

但是安装没生效，不清楚其中的原因。

于是通过另外一台同样是64位的服务器拷贝过来一份chattr文件，然后chmod 777 chattr赋予执行权限

然后

chattr -i XXX你的病毒文件

即可解锁，然后rm -rf 删除文件

6. 重复上面的步骤将所有的病毒文件删除

然后终于恢复正常了

总结：

1. 最后最好修改下你的登录密码和22端口，防止在被植入木马

2. 一些应用的默认端口最好修改，然后都设置密码

3. 如果登录机器ip固定，可以使用黑白名单登录