由于2021-1-13日发现服务器CPU占用异常导致正常服务无法运行,进行问题排查并处理,现记录处理过程,以便以后遇到相似问题可以参考。

1.使用top查看服务器的运行状态,发现异常进程。(此时发现CPU异常)

2.根据进程名查询执行:ps –ef|grep xr (查询XR命令执行信息得到PID)

3.根据执行命令中地址去百度得出该文件(疑似病毒): 

4.查找执行文件具体信息:

find / -name xr

查的该文件所在路径

5.根据查找命令,删除所在文件夹 .XLL

 rm –rf .XLL

6.进入root用户检查定时任务

crontab –l

执行以上操作,进行观察发现进程仍然会启动。固进行下一步排查。 

7.遇到以上这种情况,检查定时任务文件

cat /etc/crontab

8.发现文件被修改 并发现内部有多个异常定时任务(从异常网站获取脚本并定时执行)

执行 

vim /etc/crontab 

删除所有有关xr 和不知名网站下载的定时任务。

9.观察服务器 CPU使用情况 并未再出现异常情况

10.第二天服务器 仍然出现CPU告警 依照以上排查发现 

crontab -l 

中出现 定时任务

/etc/crontab 

文件中没有问题 

所以解决

/var/spool/cron/root 

文件问题

11.执行命令 

crontab -e 

进行编辑 输入

dd 

删除定时任务 输入

:wq! 

保存

12.如果遇到保存报错(没有权限)

执行 lsattr 文件名 命令 发现有----i-----e 属性

执行以下命令 chattr -ai /var/spool/cron

继续执行11

如果不需要执行服务器定时任务 建议关闭定时任务服务

/bin/systemctl start crond

/bin/systemctl stop crond

/bin/systemctl restart crond

/bin/systemctl reload crond

/bin/systemctl status crond

以上1-5行分别为启动、停止、重启服务和重新加载配置、查看服务状态