一次Linux中的木马病毒解决经历(6379端口---newinit.sh)

病毒入侵解决方案

情景

最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.

排查

既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.

这个时候就说明木马已经入侵了,不是即时入侵的.

于是自然的使用top,ps,crontab等方案去排查

• top

  从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.

• ps -aux > /usr/local/ps;vim /usr/local/ps

  从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸

  
  所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器

  …又正常了,又过了