使用AI杀毒

shakespark 2026-07-01 09:43 1

昨天发现公司的一台服务器特别卡,top查看发现%us 一直占用50%cpu,但是根据cpu排名又看不到有什么进程在占用,ps命令的结果也很奇怪,后来问ai试了好几种办法,最后用perf top --sort=pid,comm才发现确实有几个进程在占用cpu,但是ps居然查不到这些pid的信息,但是ls /proc/能看到。


ai立刻提示我,这是典型的中了木马…天知道同事用了什么鬼脚本啊!


直接vscode远程到服务器,在claude code插件里直接说这个机器中毒了,然后开始一步步查


查定时任务把可疑的感染脚本干掉,各种杀可疑进程,最阴险的是木马感染了ls dir netstat systemctl ,这些命令都被查出来有异常,而且有的命令加了-i属性禁止修改,还好可疑apt重新安装


systemctl重装后ai才发现了隐藏的自启动服务,杀!


.ssh里有可疑的密钥,杀!


折腾了1个多小时,重启后验证没有可疑进程,top也正常,这个机器才算基本安全。


让ai起草邮件,对木马连接的ip(一个Vultr,一个DigitalOcean)发邮件进行了abuse投诉


其实发现木马的第一时间,正确的对策应该是立刻重装,可惜现在还没精力折腾。

最新回复 (7)
  • 猫南北 07-01 09:47
    1

    直接vscode远程到服务器,在claude code插件里直接说这个机器中毒了



    emmm CC在ssh下的vscode里 能用?

  • 猫南北 07-01 09:48
    2

    正确的对策应该是立刻重装



    …你这是测试机啊, 啥都不干,重装起步

  • shakespark 楼主 07-01 09:56
    3

    ssh里配个端口转发,然后vscode里设置代理

  • shakespark 楼主 07-01 09:57
    4

    上面有业务,下周再重装了……哎,可怜的机器

  • a8467230 07-01 10:01
    5

    服务器有镜像或者快照备份功能吗?养成定时备份镜像或者快照的习惯,我之前碰到这种情况是直接恢复上一次的快照就搞定了。我是中了挖矿病毒,怎么删都删不掉,删了过一会又自动下载回来了。然后恢复快照就可以了

  • wang8890 07-01 10:35
    6

    codex安全卫士诚不欺。干死360

  • zh-tx 07-01 10:41
    7

    我现在电脑发热异常, 空间不够也是直接AI分析给出建议, 比传统的固定模型的软件好用多了

* 帖子来源Linux.do
返回