前言:
早上发现一个服务器的挖矿程序预警消息:
那么接下来开始处理这个问题, 废话不说直接上有效的操作了;
1、查看系统定时任务及修改:
查看系统定时任务:方式一:crontab -lcrontab -e,改定时任务方式二如下(直接修改root文件):
[root@izm5e6j8qikrz6tmzcydfcz etc]# cd /var/spool/cron
[root@izm5e6j8qikrz6tmzcydfcz cron]#
[root@izm5e6j8qikrz6tmzcydfcz cron]# ls
root
[root@izm5e6j8qikrz6tmzcydfcz cron]# vi root
删除掉这个定时任务即可, 同时也需要进行文件权限处理;
[root@izm5e6j8qikrz6tmzcydfcz ~]# cd /var/spool/cron[root@izm5e6j8qikrz6tmzcydfcz cron]# ls[root@izm5e6j8qikrz6tmzcydfcz cron]# lsattr -a -ilsattr: invalid option -- 'i'Usage: lsattr [-RVadlv] [files...][root@izm5e6j8qikrz6tmzcydfcz cron]# chattr -i root[root@izm5e6j8qikrz6tmzcydfcz cron]# chattr -a root
2、查看开机启动项:
只查看开机启动项:
systemctl list-unit-files | grep enabled这个暂时没发现异常情况;
3、杀掉这个进程PID已提供
通过进程ID查看进程是否存在:
netstat -nap | grep 26927
杀掉这个进程:
kill -9 26927
4、进入/etc文件目录查看并删除相关文件:
cd /etc ls
这个 newinit.sh 应该就是恶意程序, 感兴趣的可以下载打开看看;
直接删除,发现删除不掉, 会出现如下错误:
rm -rf newinit.sh
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf newinit.sh
rm: cannot remove ‘newinit.sh’: Operation not permitted
You have mail in /var/spool/mail/root
由于设置了 chattr相关的一些权限,接下来处理文件权限问题, 并删除文件
chmod +x /usr/bin/chattr
lsattr -a -i
chattr -i newinit.sh
chattr -a newinit.sh
rm -rf newinit.sh
以下是具体删除的例子, 供参考:
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf newinit.sh
rm: cannot remove ‘newinit.sh’: Operation not permitted
You have mail in /var/spool/mail/root
[root@izm5e6j8qikrz6tmzcydfcz etc]# chmod +x /usr/bin/chattr
[root@izm5e6j8qikrz6tmzcydfcz etc]# lsattr -a -i
lsattr: invalid option -- 'i'
Usage: lsattr [-RVadlv] [files...]
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -i newinit.sh
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -a newinit.sh
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf newinit.sh
[root@izm5e6j8qikrz6tmzcydfcz etc]#
[root@izm5e6j8qikrz6tmzcydfcz etc]#
[root@izm5e6j8qikrz6tmzcydfcz etc]#
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf zzh
rm: cannot remove ‘zzh’: Operation not permitted
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -i zzh
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -a zzh
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf zzh
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -a zzhs
[root@izm5e6j8qikrz6tmzcydfcz etc]# chattr -i zzhs
[root@izm5e6j8qikrz6tmzcydfcz etc]# rm -rf zzhs
[root@izm5e6j8qikrz6tmzcydfcz etc]# ls
出现这个问题的原因:
一般都是通过扫描端口,发现一些软件的漏洞, 我这个应该是redis端口开放导致的, 所以服务器的端口不能随便开放, 而且对于一些软件的安全措施能设置的还是设置一下, 虽然麻烦一些,但是安全稳定,在此记录一下,感谢阅读。
