一个网站建设的流程,设计网站建设的合同书,徐州企业网站模板建站,网站开发项目怎么接前言 最近发现在使用gitlab提交代码的时候总是失败#xff0c;一访问gitlab还时常报503#xff0c;于是使用 top 命令查看了内存占用情况#xff0c;发现了一个git进程内存使用了2.3g#xff0c;cpu还一直占用300-400%#xff0c; 以前不知道gitlab还有病毒#xff0c;只…前言 最近发现在使用gitlab提交代码的时候总是失败一访问gitlab还时常报503于是使用 top 命令查看了内存占用情况发现了一个git进程内存使用了2.3gcpu还一直占用300-400% 以前不知道gitlab还有病毒只以为是git存储了往期版本产生的内存占用大但是看见占用的进程 kill 掉之后还会立刻就出现大概明白是病毒了gitlab-ce 12.3.5版本的时候只要一出现这个病毒必将提交失败将gitlab-ce 12.3.5 升级到了 12.10.14之后病毒出现后依旧可以提交只是gitlab会非常卡。 说明 服务器腾讯云 LinuxCentOS Linux release 7.9.2009 (Core) gitlab-ce12.3.512.10.14 简介 本文主要内容为怎么排查gitlab-ce漏洞引起的挖矿病毒以及如何彻底杀死为读者提供一个在不能及时升级gitlab-ce版本的情况下的应急解决方案。最终解决还是要升级gitlab版本 网上看了很多篇文章发现讲的解决方案都不清晰因此提供一篇希望能帮助到同行朋友 一、发现问题
top
使用 “ top ”命令可以查看Linux系统中占用内存排名前10的进程以倒叙展示。 图中排名第一的就是挖矿病毒独有内存占用2.3gCPU占用380%
二、排查问题
lsof -p 病毒进程的PID 注意这里查的 PID 之所以是 29261是因为将图一的PID16615的git进程 kill 掉之后重新出现的挖矿病毒进程PID 国外的IP地址 三、解决问题 从上图可以看见病毒所在文件的路径为以下路径
/var/tmp/.bin/x
注意“ .bin ” 是个隐藏文件命令 “ ls ” 或 “ ll ” 是看不见的需要加上参数 “ -a ” 找到病毒文件后使用 rm 命令删除而后再将病毒进程kill掉
rm x #删除x文件kill 29261 #终止PID为29261的进程 至此完成 我将病毒 “x” 下载下来发给朋友看看是什么病毒朋友给我来一张图 Threats found. Start the recommended actions发现威胁。启动建议的操作
