1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 |
[root@localhost sbin]# top top - 17:19:41 up 17:07, 1 user, load average: 7.03, 23.06, 28.44 Tasks: 701 total, 1 running, 700 sleeping, 0 stopped, 0 zombie Cpu(s): 98.2%us, 0.1%sy, 0.0%ni, 99.7%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st 这里看到cpu占很高 Mem: 24412676k total, 6449524k used, 17963152k free, 237332k buffers Swap: 16416764k total, 0k used, 16416764k free, 858768k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 3556 mysql 20 0 2211m 525m 8180 S 6 2.2 15:46.26 mysqld 7362 root 20 0 17436 1824 988 R 1 0.0 0:00.26 top 134 root 20 0 0 0 0 S 0 0.0 0:21.65 events/3 3737 root 20 0 9892m 7644 3808 S 0 0.0 0:26.70 amsmaster 3757 ams 20 0 16.4g 12m 5628 S 0 0.1 0:38.70 amsedge 4485 root 20 0 12.2g 2.3g 17m S 0 10.0 9:19.92 java 4737 root 20 0 149m 29m 3564 S 0 0.1 5:49.55 mongod 1 root 20 0 23492 1588 1256 S 0 0.0 0:09.54 init 2 root 20 0 0 0 0 S 0 0.0 0:00.05 kthreadd [root@localhost ~]# ps aux --sort=-%cpu | awk 'NR==1{print $2,$3,$11}NR>1{if($3!=0.0) print$2,$3,$11}' PID %CPU COMMAND 5350 3262 /usr/sbin/tplink <-------------------这个cpu占太高了 3556 1.4 /home/mysql/bin/mysqld 4485 0.9 /usr/local/jdk1.7/bin/java 4737 0.5 ./bin/mongod 4765 0.3 /usr/bin/java 2983 0.1 [kondemand/8] 2975 0.1 [kondemand/0] 2999 0.1 [kondemand/24] 2984 0.1 [kondemand/9] 3002 0.1 [kondemand/27] 2986 0.1 [kondemand/11] [root@localhost ~]# [root@localhost ~]# vim /sbin/iptables <---------- 查看授权, 是乱码, 不清楚什么原因, 可能是中毒之后 这个文件被修改或者加密了 ---->乱码 到底是什么玩意啊 天 [root@localhost ~]# which tplink /usr/sbin/tplink <-----查看到这个文件的位置 [root@localhost sbin]# ls -ls ...... 2912 -rwx------. 1 root dev 2979640 11月 5 00:12 tplink <------查看到这个文件的权限 [root@localhost sbin]# chmod -rwx /usr/sbin/tplink <-----------删除权限 [root@localhost sbin]# ls -ls ...... ----------. 1 root dev 2979640 11月 5 00:12 tplink <------ 确认权限是否被删除 [root@localhost sbin]# ps aux --sort=-%cpu | awk 'NR==1{print $2,$3,$11}NR>1{if($3!=0.0) print$2,$3,$11}' <----------再查看进程占cpu的情况, 没看到上面的进程了 PID %CPU COMMAND 3556 1.5 /home/mysql/bin/mysqld 4485 0.9 /usr/local/jdk1.7/bin/java 4737 0.5 ./bin/mongod 4765 0.3 /usr/bin/java 2983 0.1 [kondemand/8] 2975 0.1 [kondemand/0] 2999 0.1 [kondemand/24] 2984 0.1 [kondemand/9] 3002 0.1 [kondemand/27] 2986 0.1 [kondemand/11] [root@localhost sbin]# [root@localhost sbin]# top top - 17:19:41 up 17:07, 1 user, load average: 7.03, 23.06, 28.44 Tasks: 701 total, 1 running, 700 sleeping, 0 stopped, 0 zombie Cpu(s): 0.2%us, 0.1%sy, 0.0%ni, 99.7%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st <------再次统计cpu cpu已经降下来了 Mem: 24412676k total, 6449524k used, 17963152k free, 237332k buffers Swap: 16416764k total, 0k used, 16416764k free, 858768k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 3556 mysql 20 0 2211m 525m 8180 S 6 2.2 15:46.26 mysqld 7362 root 20 0 17436 1824 988 R 1 0.0 0:00.26 top 134 root 20 0 0 0 0 S 0 0.0 0:21.65 events/3 3737 root 20 0 9892m 7644 3808 S 0 0.0 0:26.70 amsmaster 3757 ams 20 0 16.4g 12m 5628 S 0 0.1 0:38.70 amsedge 4485 root 20 0 12.2g 2.3g 17m S 0 10.0 9:19.92 java 4737 root 20 0 149m 29m 3564 S 0 0.1 5:49.55 mongod 1 root 20 0 23492 1588 1256 S 0 0.0 0:09.54 init 2 root 20 0 0 0 0 S 0 0.0 0:00.05 kthreadd |
只是临时解决, 关于执行文件, /usr/sbin/tplink, 下面两篇文章说到:
一次LINUX挖矿木马排查小记 https://blog.sosolinux.com/post/64/
阿里云centos服务器cpu使用率100%和redis漏洞问题 http://358778493.blog.51cto.com/11386071/1866278
1 |
vim /usr/sbin/tplink |
这个文件: 到底是什么??????????????????????
^@^@^@¾^A^@^@^@è£Û^@^@H<8d>^D[H<8d>^DÅ^@^@^@H^AèL<89>
^HH<89>E^@¸^A^@^@^@ÇE^H^@^@^@^@H<83>Ä^X[]A\A]Ã^O^_D^@^@I<8b>|$ èÖ]^C^@¨^Au<8d>éiÿÿÿ^O^_D^@^@I<8b>}^@<89>D$^Lè+2^E^@IÇE^@^@^@^@^@<8b>D$^LH<83>Ä^X[]A\A]Ã^O^_@^@A¸´^@^@^@¹^HÒ^@º÷^@^@^@¾Á^@^@^@¿^T^@^@^@è^A/^D^@1Àë<8d>^O^_D^@^@A¸¼^@^@^@¹^HÒ
^@ºA^@^@^@¾Á^@^@^@¿^T^@^@^@èÙ.^D^@1ÿèB©^D^@1Àé[ÿÿÿff.^O^_<84>^@^@^@^@^@USH<89>óH<83>ì^HH<85>ötbH<89>ýH<8d>¿^@^A^@^@è#¶ÿÿ<85>Àt^_H<8b>½^@^A^@^@H<83>Ä^HH<89>Þ[]é<9a>üÿÿf.^O^_<84>^@^@^@^@^@A¸L^@^@^@¹^HÒ^@ºA^@^@^@¾Æ^@^@^@¿^T^@^@^@èa.^D^@H<83>Ä^H1À[]Ã^O^_<84>^@^@^@^@^@A¸H^@^@^@¹^HÒ
^@ºC^@^@^@¾Æ^@^@^@¿^T^@^@^@è1.^D^@H<83>Ä^H1À[]Ã^O^_<84>^@^@^@^@^@AUATI<89>ýUSI<89>ô<89>ÕH<83>ì^Hè9ß^C^@H<89>ÇèÑÇ^C^@H<85>ÀH<89>Ã^O<84>µ^@^@^@L<89>áº^C^@^@^@¾l^@^@^@H<89>ÇèðÍ^C^@H<85>À^O<8e>Ç^@^@^@<83>ý^B^O<84>æ^@^@^@<83>ý^At9A¸l^@^@^@¹^HÒ^@º|^@^@^@¾È^@^@^@¿^T^@^@^@èª-^D^@1íH<89>ßè^@È^C^@H<83>Ä^H<89>è[]A\A]Ã^O^_^@I<8b><85>p^A^@^@1öH<89>ßH<8b><90>¨^@^@^@H<8b><88>°^@^@^@èñà^E^@º ^@^@^@I<89>ÄM<85>ä^O<84><90>^@^@^@L<89>ïL<89>æè<95>þÿÿL<89>ç<89>Åè;0^E^@ë¡f^O^_<84>^@^@^@^@^@A¸\^@^@^@¹^HÒ
^@º^G^@^@^@¾È^@^@^@¿^T^@^@^@1íè^_-^D^@H<83>Ä^H<89>è[]A\A]Ãf<90>A¸a^@^@^@¹^HÒ^@º^B^@^@^@¾È^@^@^@¿^T^@^@^@èñ,^D^@éBÿÿÿ^O^_@^@1öH<89>ßè®K^F^@º^M^@^@^@I<89>Äéhÿÿÿ<90>A¸q^@^@^@¹^HÒ
^@¾È^@^@^@¿^T^@^@^@è¶,^D^@é^Gÿÿÿ<90>USH<89>ýHcÒ1ÿH<83>ì^XH<89>t$^HH<8d>t$^HèS/^E^@H<85>ÀH<89>Ãt#H<89>ïH<89>ÆèÀýÿÿH<89>ß<89>Åèf/^E^@H<83>Ä^X<89>è[]Ã^O^_D^@^@A¸<86>^@^@^@¹^HÒ^@º^M^@^@^@¾Ç^@^@^@¿^T^@^@^@èI,^D^@H<83>Ä^X1À[]ÃATUSH<89>óH<83>ì^PH<85>ö^O<84>Ä^@^@^@I<89>üH<8d>¿^@^A^@^@è<9d>³ÿÿ<85>ÀtYè^D£^D^@H<85>ÀH<89>Åt|H<89>ßè4O^C^@H<89>Ú¾^F^@^@^@H<89>ïè<84>£^D^@<85>À^O<8e>´^@^@^@I<8b>¼$^@^A^@^@H<89>îè<8c>ûÿÿH<89>ï<89>ÃèB¦^D^@<89>ØH<83>Ä^P[]A\Ã^O^_<80>^@^@^@^@A¸<9a>^@^@^@¹^HÒ
^@ºA^@^@^@¾Ì^@^@^@¿^T^@^@^@<89>D$^Lè<9d>+^D^@<8b>D$^LH<83>Ä^P[]A\ÃA¸<9e>^@^@^@¹^HÒ^@º^F^@^@^@¾Ì^@^@^@¿^T^@^@^@èq+^D^@1Àë<9d>^O^_D^@^@A¸<96>^@^@^@¹^HÒ
^@ºC^@^@^@¾Ì^@^@^@¿^T^@^@^@èI+^D^@H<83>Ä^P1À[]A\Ãf^O^_D^@^@H<89>ßèPM^C^@1ÀéYÿÿÿf^O^_<84>^@^@^@^@^@AUATI<89>ýUSI<89>ô<89>ÕH<83>ì^Hè9Ü^C^@H<89>ÇèÑÄ^C^@H<85>ÀH<89>Ã^O<84>µ^@^@^@L<89>áº^C^@^@^@¾l^@^@^@H<89