hadoop yarn漏洞 8088端口进入挖矿病毒处理记录

早上发现服务器cpu使用异常 

进程如图所示 按照挖矿病毒的套路 肯定是定时任务不停地执行脚本 遂查看定时任务  进入/var/spool/cron 查看定时任务   

发现里面有一个root文件  定时任务每分钟执行一次/root/.tmp00下的脚本 脚本是编译过的  

初步测试 删除定时任务   删除之后会马上生成一个定时任务   所以想办法删除执行脚本 

文件信息如下 

 

这几个文件删除后会马上生成   

目前的解决办法是 chmod 000 文件    让执行文件不可执行   目前看来挖矿病毒并不会验证脚本的权限  

此时删除定时任务  发现定时任务不会再次生成   

 

定时任务成功删除后  将没有执行权限的几个文件删除   此时发现并没有自动生成文件     

问题解决 。

文件删除自动生成可能是因为脚本文件都是双份的原因  删除一个 另一个马上自动生成文件  

双份的文件包括  bash bash64 cfg cfgi  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://my.oschina.net/u/3618851/blog/3076165