记一次线上服务器处理后门程序
现象:当日下午,通过监控报警得知,该台服务器的CPU使用率非常高,已接近100%,见下图:
处理过程:
1.立刻登录服务器,用top命令查看是什么原因导致CPU使用率飙升,见下图:
2.发现.chinaz{1461058进程占据了97%的CPU,确定该进程是可疑进程
3.在系统上使用 find / -name ".chianz"命令找到和此命令相关的文件,发现在/etc/rc.d/init.d/目录下存在可疑文件,删除该文件并重启系统,系统恢复正常
4.通过安全事件得知,该文件是被人利用破壳漏洞植入的后门程序,见下图:
5.执行yum update bash命令修复破壳漏洞。
转载于:https://blog.51cto.com/147546/1770819