记一次阿里云服务器被bbb劫持CPU一直跑满
因为之前开放docker端口2375所以服务器就被入侵了,bbb程序一直跑满服务器的CPU,而且关不掉,进程关掉后自己就又启动了,所以是一直有定时任务在背后捣鬼。
执行命令 top 可以看到bbb进程占满了cpu
然后通过 ps aux|grep bbb 命令找到文件所在位置 /var/tmp/bbb/bbb
通过 crontab -l 命令查看定时任务
然后执行 echo > /var/spool/cron/root 会发现权限不够
执行 lsattr /var/spool/cron/root 查看特殊权限
chattr -ia /var/spool/cron/root 清楚特殊权限
再执行 echo > /var/spool/cron/root 成功删除定时任务
然后执行 kill -9 bbb进程号 关闭进程 清理crontab文件
然后执行 chattr -u /var/tmp/bbb/bbb
chattr -ia /var/tmp/bbb/bbb 清除bbb文件特殊权限
再使用 rm -rf /var/tmp/bbb 删除源文件
然后 top 查看bbb进程是否被删除
建议2375等一些重要端口,设置为固定来源IP才能访问,不然这些端口很容易被黑客利用