六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法

查看进程:top

六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法_第1张图片
发现一个command为java的程序一直在偷吃我的cpu,逗我玩,我的java怎么可能会偷吃,一开始还真以为是java文件

查看进程命令:top c

六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法_第2张图片
一看,是一个在/var/tmp/java下的文件,阿里云的态势检测有一个非法下载异常和一个挖矿木马程序
在这里插入图片描述
11.09分被非法下载下载下来的,11分被执行,短信就过来了,不用看了就这家伙,谁知打开一看,乱码,不慌,先把起权限降为只读。
先把木马进程杀掉和所有执行计划停止掉(或删除掉)
service stop crond 或 crontab -r 删除所有的执行计划
六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法_第3张图片
我一不小心就把执行计划删除掉了,不过删除前我已经把这个计划文件找到了在:/var/spool/cron下,最可恶的是,文件还伪装成我的用户名"ljj",一眼看过去就知道不是我,我们不一样。
打开名为ljj的文件:
在这里插入图片描述
把标准输出流放到回收站中,标准错误流放到标准输出流中,也跟着进了回收站/dev/null,因此没有错误消息显示出来。
顺便回头把/var/tmp下假java文件也删掉。

最后提一下,我是被入侵yarn的端口8088,可以通过相关端口进入管理页面查看发现有一堆正在执行的任务,注意做好相关措施,防止匿名用户登录。

你可能感兴趣的:(Hadoop)