腾讯云报告了root口令被暴力破解,并种了木马kpgrbcc
昨晚找到/usr/bin/
rm -rf kpgrbcc 删除
rm -rf kpgrbcb 删除
并ps -ef | grep kpg 确认了不存在,然后更换了root口令
然而并没有卵用,今天发现,还在。。。。。
查看监控,从种马开始,cpu使用几乎100%
使用top查看进程情况
原来是被当了矿机了
-------------------------------------------------------------
知道是这玩意好办,有很多教程借鉴
1.开一个terminal,执行top命令,杀掉木马进程(1392,729,24689):kill -9 1392
2.到木马报告的目录/usr/bin/,删掉木马文件 kpgrbcc:rm -rf kpgrbcc
3.查看是否有定时任务:crontab -l
果然发现定时任务:
执行 crontab -e,删除定时文件,保存退出(类似vi操作)
4.到临时目录去查看:cd /tmp 并且详细列出包括隐藏的文件 ls -al
果然有发现矿机文件qw3xT,以防万一,将tmp目录下的文件全部删除:rm -rf *
发现不知名的文件无法删除
使用root都无法删除?有可能文件被保护了。用命令lsattr检查一下:
果然是,那么使用chattr 解除即可:
最后 rm -rf * 全部删除
继续监测cpu使用率,没有再爆满,应该是解决了
最好继续做好预防工作:
1.cd /var/log 去删除日志并使用history -c清除历史记录
2.cd ~/.ssh
这个是无密登录的钥匙,用于主机之间的无密通信,果断删掉
rm -rf authorized_keys
3.更换ssh口令passwd root
4.更换ssh端口,并重启ssh服务
https://www.cnblogs.com/rwxwsblog/p/5756894.html
https://blog.csdn.net/lang363/article/details/82354830
https://blog.csdn.net/wuyongde_0922/article/details/72718821
https://blog.csdn.net/qq_22067469/article/details/84481886
https://blog.csdn.net/zhangguoliang12309/article/details/79193006