case info
centos 6.5/RAID1+RAID5
服务器开机后大量进程占用cpu资源,居高不下,僵尸进程和负载越来越大,导致服务器各项服务不能正常使用
假设木马的名字是nshbsjdy,如果top看不到,可以在/etc/init.d目录下面查看
1、首先锁定三个目录,不能让新木马文件产生
1 2 3 4 | chmod 000 /usr/bin/nshbsjdychattr +i /usr/binchattr +i /binchattr +i /tmp |
2、删除定时任务及文件以及开机启动文件
1 2 3 | 删除定时任务及文件rm -f /etc/init.d/nshbsjdyrm -f /etc/rc#.d/木马连接文件 |
3、杀掉木马进程
1 | killall -9 nshbsjdy |
4、清理木马进程
1 2 | chattr -i /usr/binrm -f /usr/bin/nshbsjdy |
处理完成之后再一次检查一下以上各目录,尤其是/etc目录下面最新修改的文件。
