背景
晚上,手機收到某伺服器cpu異常報警提醒,以為是jenkins日常打包會使記憶體升高,沒有在意,後面再看了一下這回是cpu報警,于是登陸伺服器檢視異常
CPU使用率異常
使用top指令,檢視CPU使用率超高,如下
一看這個程序顯然就不是正常的程序,這台linux伺服器隻跑jenkins容器,不會有其他程序,果斷殺死程序,并且根據程序号檢視詳細可執行檔案路徑
顯然這個路徑也是不正常的。
檢視定時任務是否異常
定時任務也沒異常的腳本,但是不光要看這個,還要看/etc/cron*目錄底下是否有異常
最快速的辦法就是檢查這些目錄底下有沒有新檔案,按檔案生成日期檢視是否有最新的
檢查開機啟動項是否異常
檢視也沒有異常腳本
檢查目前登陸使用者
目前就我自己在登陸
檢查免密登陸授權檔案是否有異常
檢視登陸日志
從18:10分時就開始有異常IP和不存在的使用者登陸的資訊,這個IP查一下是德國位址
再往前查,發現,其實前面就已經存在異常資訊了