问题
打开vps,感觉很卡,仔细一看,cpu负载一直在100%,用top查看没有异常进程,但总数明显不正常,应该是相关进程被隐藏了。
处理
由于很卡,几乎无法操作,也就没法安装杀毒软件或其他工具。正在束手无策之际,突然想起之前有个glances的docker在运行,打开glances的页面,果然发现一个进程占了70~80%的cpu。
用systemctl status PID,显示了详细信息,其中包含了文件路径,于是去删除了相关文件,再kill -9 PID杀掉进程。
又查了crontab -l,里面被添加了开机启动(@reboot开头的行),又删了这些文件。
然后又凭感觉连猜带蒙的删了一些相关文件,感觉差不多了,重启。进来后觉得还是卡,但实际cpu负荷并不高,可能是心理作用吧,洁癖,还是重装吧。
反思
虽然上面记录得简单,但实际还是走了不少弯路的。这是第一次真正遇到了网络攻击,虽说平时挺喜欢折腾的,但真要折腾的时候还是手忙脚乱的,心里也烦躁,毕竟是要花时间和精力来对付。
最后还是得回头想想到底有没有什么隐患。
