记一次可疑xm进程的排查与处理

发现可疑进程

图片1
通过top命令可以看到一个xm进程占用了极大的cpu时间

通过上述截图可以看到进程对应的 PID 为 9481,根据进程 ID 查询一下产生进程的程序路径:
图片2

查看是否有可疑计划任务程序

ls /var/spool/cron

查看是否有可疑开机启动脚本,发现可疑服务
图片3
进入 /etc/systemd/system/ 目录找到并查看该脚本内容
图片4

尝试停用服务

图片5

清理可疑脚本及文件

图片6
图片7
图片8
图片9
图片10

停止进程

图片11

查看是否停止成功

图片12
cpu使用率已下降

事后观察

观察是否还会有新进程产生及文件创建