• centos7清理矿机木马qw3xT,kpgrbcc


    腾讯云报告了root口令被暴力破解,并种了木马kpgrbcc

     

    昨晚找到/usr/bin/

    rm -rf kpgrbcc 删除

    rm -rf kpgrbcb 删除

    并ps -ef | grep kpg 确认了不存在,然后更换了root口令

    然而并没有卵用,今天发现,还在。。。。。

    查看监控,从种马开始,cpu使用几乎100%

    使用top查看进程情况

    原来是被当了矿机了

     -------------------------------------------------------------

    知道是这玩意好办,有很多教程借鉴

    1.开一个terminal,执行top命令,杀掉木马进程(1392,729,24689):kill -9 1392

    2.到木马报告的目录/usr/bin/,删掉木马文件 kpgrbcc:rm -rf kpgrbcc

    3.查看是否有定时任务:crontab -l

    果然发现定时任务:

    执行 crontab -e,删除定时文件,保存退出(类似vi操作)

    4.到临时目录去查看:cd /tmp 并且详细列出包括隐藏的文件 ls -al

    果然有发现矿机文件qw3xT,以防万一,将tmp目录下的文件全部删除:rm -rf  *

    发现不知名的文件无法删除

    使用root都无法删除?有可能文件被保护了。用命令lsattr检查一下:

    果然是,那么使用chattr 解除即可:

    最后 rm -rf * 全部删除

    继续监测cpu使用率,没有再爆满,应该是解决了

    最好继续做好预防工作:

    1.cd /var/log 去删除日志并使用history -c清除历史记录

    2.cd ~/.ssh

    这个是无密登录的钥匙,用于主机之间的无密通信,果断删掉

    rm -rf authorized_keys

    3.更换ssh口令passwd root

    4.更换ssh端口,并重启ssh服务

     https://www.cnblogs.com/rwxwsblog/p/5756894.html

    https://blog.csdn.net/lang363/article/details/82354830

    https://blog.csdn.net/wuyongde_0922/article/details/72718821

    https://blog.csdn.net/qq_22067469/article/details/84481886

     https://blog.csdn.net/zhangguoliang12309/article/details/79193006

    好记性不如烂笔头,每天记录一点点
  • 相关阅读:
    mysql的一些不常用语句
    redis的使用1
    linux理论知识点(用于考试)
    服务器负载均衡数据同步的实现
    解决com.ibatis.sqlmap.client.SqlMapException: There is no statement named in this SqlMap
    cvc-complex-type.2.3: Element 'beans' cannot have character [children]
    Oracle11g服务详细介绍及哪些服务是必须开启的
    Oracle
    oracle 帐号scott被锁定 如何解锁
    记录
  • 原文地址:https://www.cnblogs.com/wayneliu007/p/10375283.html
Copyright © 2020-2023  润新知