服务器被挂病毒记录(redis入侵)

前言

今天正在快乐的打着游戏,突然一个浙江的电话:


好家伙,我那可怜的1核2g的服务器说在跑挖矿程序,苍天啊,大地呀,我那1核2g的服务器有啥跑呢,别难为这小家伙了。

服务器被挂病毒记录(redis入侵)_第1张图片

解决过程:

1:查看定时任务:

crontab -l //列出定时任务

服务器被挂病毒记录(redis入侵)_第2张图片
网上说这是门罗币的定时任务
在这里插入图片描述
这里大概率是直接删除不了的,因为病毒给你添加了不可修改的权限:

属性名 Value
a 让文件或目录仅供附加用途
b 不更新文件或目录的最后存取时间
c 将文件或目录压缩后存放
d 将文件或目录排除在倾倒操作之外
i 不得任意更动文件或目录
s 保密性删除文件或目录
S 即时更新文件或目录
u 预防意外删除
lsattr+文件名

查看文件权限  全删了即可
chattr -ie(权限符) 文件名

没法直接删除定时任务,这时候需要chattr修改目录,但是执行的chattr -i xxx的时候,提示chattr: command not found。
在这里插入图片描述

咱就是说把chattr文件删除了对吧,改完权限后把你的改权限的工具给扔了,
然后呢,我们需要把工具给找回来

这是一个github连接
chattr文件地址
把这个c语言文件编译后的out文件改名chattr放任bin文件目录就行了,如果有权限问题,运行不了chattr可以参考这个博客:解决chattr编译后因权限没法正常使用问题


然后使用

cd var spool 
chattr -ia root
chattr -ia cron

把定时任务所在的目录的权限去掉:
没有用的定时任务直接把root文件夹删掉即可

rm -rf root  
/**
删掉root文件夹即可
**/

服务器被挂病毒记录(redis入侵)_第3张图片
删除定时任务成功

2:查找病毒进程:
你会贴心发现top里面什么鸟都没有
因为病毒已经贴心的把ps核top都给你替换了:

top.lanigiro //原top命令,找到pid
ps.lanigiro -ef | grep xxx//原ps命令,找到程序文件路径

在这里插入图片描述
然后记得把top和ps改回来。

mv /bin/top.lanigiro /bin/top
//改回来top
mv /bin/ps.lanigiro /bin/ps 
改回来ps
如果改不了记得chattr清除一下权限

服务器被挂病毒记录(redis入侵)_第4张图片
kill下699的进程(挖矿进程)
服务器被挂病毒记录(redis入侵)_第5张图片

清除完程序后我们杀一下进程。

3:清除后门密匙:
在.ssh中把不是你添加的密匙删掉即可

服务器被挂病毒记录(redis入侵)_第6张图片
如若不会操作:密匙上传操作博客

你可能感兴趣的:(linux,服务器,运维)