1. 服务器CPU突然爆满,我的第一反应和排查
那天早上,我像往常一样打开阿里云控制台,准备检查一下昨晚部署的服务运行情况。结果一眼就看到监控大屏上,一台核心业务服务器的CPU使用率曲线直接拉满,稳稳地钉在100%的红线上。我心里“咯噔”一下,这可不是什么好兆头。紧接着,手机就收到了阿里云发来的告警短信,提示“服务器CPU使用率持续超过90%”,这下实锤了,服务器肯定出问题了。
我的第一反应是业务量激增?但看了看访问日志,流量平平无奇。那会不会是昨晚更新的代码有死循环?赶紧尝试通过SSH连接服务器,想进去看个究竟。结果发现连接过程异常缓慢,敲个命令要等好几秒才有反应,典型的资源被耗尽的表现。这时候,就不能再用常规的SSH方式了,我立刻转到阿里云控制台,使用 VNC远程连接 功能直接登录。这个功能在服务器负载极高、网络响应迟缓时特别管用,它不依赖服务器的网络服务状态,相当于直接给服务器接上了键盘显示器。
登录进去之后,终端都卡卡的。我二话不说,直接敲下了排查CPU问题的“万能钥匙”命令:top。这个命令能实时显示系统中各个进程的资源占用情况。按下回车后,结果一目了然。排在第一位的进程名叫 [crypto],后面的 %CPU 那一列赫然显示着 99.9%!好家伙,几乎把整个CPU核心都吃光了。再看它的进程号(PID),比如是 12345。我本能地就想用 kill -9 12345 把它强杀掉,但多年的经验告诉我,事情没这么简单。这种恶意进程往往有守护机制,单纯杀进程很可能治标不治本,过几秒它又会换个PID“复活”。所以,必须找到它的老巢,连根拔起。
提示:当服务器响应缓慢时,优先使用云控制台的VNC功能登录,这是阿里云提供的一个“带外管理”通道,非常可靠。
top命令是Linux下查看进程动态的利器,按P键可以按CPU使用率排序,一眼就能找到“罪魁祸首”。
2. 顺藤摸瓜:定位病毒文件藏身之处
找到了占用CPU的元凶 [crypto] 进程,下一步就是要搞清楚这个程序到底是从哪里跑起来的。我们得找到它的可执行文件。在Linux系统中,有一个非常巧妙的方法:/proc 虚拟文件系统。系统里每一个运行的进程,都会在 /proc 目录下有一个以自己PID命名的子目录,里面存放着这个进程的详细信息。
我执行了这样一个命令:ls -l /proc/12345/exe。这里的 12345 要替换成你实际看到的 [crypto] 进程的PID。这个命令的作用是查看该进程对应的可执行文件的真实路径。命令执行后,返回了一个类似这样的结果:
lrwxrwxrwx 1 root root 0 Mar 10 10:00 /proc/12345/exe -> /usr/share/.crypto/crypto
关键信息出来了!箭头 -> 指向的就是病毒文件的真实路径:/usr/share/.crypto/crypto。看到这个路径,我心里基
扫一扫
670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
