1. 發現cup爆滿
當我部署項目時啓動不了,tomcat啓動不了,然後我發現cup爆滿,然後查看用top查看進程
然後我再查看pstree進程樹
2.殺死進程
kill -9 pid
殺死進程suppoie 進程後,過一分鐘該進程又起來了
3. 查找源文件
殺死進程又起來,肯定是有源文件在遠程調用其他遠程文件植入病毒,查詢源文件
find / -name '*suppoie*'
查找到了文件 在 /var/tmp 目錄下 如下圖
然後刪除 suppoie , supsplk,config.json 文件
然後過了一會suppoie進程又起來了,那說明上面刪除的文件是生成的文件,不是源文件
然後查看abrt文件夾下的文件內容
說明是遠程下載圖片sh腳本執行的,所以找到了罪魁禍首,殺死進程,刪除這個文件,搞定了,再也沒有suppoie進程了
我們的服務器被別人當成挖礦的肉雞了
