应急响应-ubuntu系统cpu飙高

一、排查过程

1、查看CPU使用情况

top -c

2、查看异常进程的具体参数

ps -aux

3、通过微步查询域名信息

4、查看异常进程的监听端口

netstat -anlpt

5、查找服务器内的异常文件

ls
cat run.sh
cat mservice.sh

6、查看脚本文件的创建时间以及程序的访问时间

stat mservice.sh
stat run.sh
stat /opt/xxxx/xxx/xxx/xxx

根据时间信息，判断入侵流程

7、查看服务器日志信息

/var/log/auth.log 登录日志

确认攻击IP
8、查看系统自启动服务

sudo systemctl list-unit-files | grep enabled

二、处置过程

1、清楚病毒以及脚本或者把整个有问题的目录给删掉

rm -rf mservice.sh run.sh /opt/xxxxx/

2、停止关闭自启动服务

servic stop 服务名 && service disable 服务名

3、由于不存在定时任务，可以不用清除
ubuntu默认不开启定时任务，需要手动开启
crontab -l ：表示列出所有的定时任务
crontab -r ：表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

4、对用户命令进行修改。改为强口令

三、溯源总结