现象:当日下午,通过监控报警得知,该台服务器的CPU使用率非常高,已接近100%,见下图:

   wKioL1csVqDApIcsAABdJJkRzr8217.png


   处理过程:

   1.立刻登录服务器,用top命令查看是什么原因导致CPU使用率飙升,见下图:

   wKioL1csV3bzHXegAAAlorGIa5k624.png


   2.发现.chinaz{1461058进程占据了97%的CPU,确定该进程是可疑进程

   3.在系统上使用 find / -name ".chianz"命令找到和此命令相关的文件,发现在/etc/rc.d/init.d/目录下存在可疑文件,删除该文件并重启系统,系统恢复正常

   4.通过安全事件得知,该文件是被人利用破壳漏洞植入的后门程序,见下图:

    wKiom1csWVugZyZtAABuy_yNqmI007.png   

   5.执行yum update bash命令修复破壳漏洞。