近期,服务器异常,通过htop
或top
命令查看CPU占用前几的进程,发现root
用户的-bash
进程把CPU一半的核占满,而另一台服务器上x
用户(被新创建的用户)和一个普通用户
CPU占用也异常。
kill -9 进程号
杀掉进程后立马又启动了新进程,ll /proc/进程号
查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用 netstat -anp|grep ESTABLISHED
查看State为ESTABLISHED
的网络连接,发现有异常外网连接,这应该就是-bash
病毒木马了。