某局点虚拟机经常出现异常,异常现象由虚拟机进入拯救模式、虚拟机挂死、虚拟机重启、重启后不能自动加载grub菜单中第一项(需要手动敲回车)等,但libvirt日志中并未显示该虚拟机有重启过信息。
出现问题的虚拟机都是centos6.7的版本,且都是由同一模板部署而成。
1. 查看“ocfs2_fence_restart”日志信息,并未出现主机fence信息;
2. 查看syslog日志,没有主机重启信息;
3. 查看libvirt日志,虚拟机并未有重启信息;
4. 查看centos系统内部日志,虚拟机并未有重启信息。
由以上四点简单得出结论,虚拟机并未发生重启,但虚拟机的现象却很像是重启过的样子。
恢复业务后,观察了几天,虚拟机再次发生重启现象,且在操作系统层面能看到虚拟机确实有重启过,都是在同一时间重启的,但重启不是正常的人为操作,且libvirt日志中并未出现虚拟机有重启过的信息(qemu进程一直都在,没有变化过),因此怀疑是应用层面的原因。
直到有一次用户反应虚拟机密码有被修改过,二线凭借经验猜测,虚拟机有可能是中病毒了,而且是模板就中病毒了,导致所有由该模板部署出来的虚拟机都带有病毒。
从以往系统中病毒的案例分析,一般病毒都会伪造成一个正常的系统进程来欺骗用户,例如虚拟机TH-4病毒伪造成正常的进程:
使用命令行“ps -e -opid,ppid,time,fname,cmd ”可以看到TH-4虚拟机这里面三个有问题的进程,假扮成pwd、cd、ls,
特征1:其实它真实的可执行文件名叫sgkezqgf等,名称是病毒随机生成的。正常的应该叫pwd,cd,ls。也就是病毒伪装的,文件放在/boot/目录下,并且经常自己删除,然后又生成。
特征2:我们自己启动的ls,pwd命令,这些父进程都应该是shell,而它这里的父进程id是1也就是init。
特征3:正常的虚拟机中是不可能有一个进程一直在“ls -a”,这些命令行中执行的命令执行完就完了,使用ps命令是不可能看到的。
病毒一般具有以下特性:破坏性、可触发性、传染性、隐蔽性、繁殖性。
破坏性:修改/var/log/下面目录为文件,导致ovs,libvirt,tomcat等进程因为log目录无法访问而创建,导致进程启动失败;占用系统资源;更改系统配置。
可触发性:定时执行、开机启动、响应远程唤醒。
传染性、隐蔽性:文件或进程名的伪装;系统文件的替换。
繁殖性:crontab会定时任务启动病毒进程;有1个病毒进程在发起攻击,CPU占用率很高,其它进程处在睡眠状态;病毒进程,不断的启动新的进程,但总进程数保持相对稳定,不会过多;攻击的进程死掉后,其他进程会顶替继续攻击。
清除病毒比较麻烦,一般是分析病毒的特征,查找识别可疑的文件,清理病毒,重启后观察。建议重装系统,设置强密码。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作