发现远程启动的挖矿进程后处理方法

出现 root     30980 1588  4.1 1918296 1364416 pts/1 Sl+  Oct28 21836:20 jhPrimeminer.exe -ohttp://218.193.132.12:10034 -u rgrg.5 -p x  

 

 

1. 封IP  :  iptables -I INPUT -s 218.193.132.12 -j DROP

    发现[root@c01b01 opt]# ll|grep jhPrimeminer.exe
-rw-r--r--  1 root     root         608256 Oct 28 10:41 jhPrimeminer.exe

   伪装成exe的形式,查 

    iptables -I INPUT -s 123.127.250.67 -j DROP

2. 根据进程名杀死所有机器上面该进程

tentakel -g all  killall jhPrimeminer.exe

 

IP解禁:

iptables -D INPUT -s 202.117.10.35  -j DROP

你可能感兴趣的:(Linux,系统安全防范)