zoukankan      html  css  js  c++  java
  • linux 木马清理过程

    服务器出现异常,完全无法访问,ssh登陆都极其缓慢

    解决过程

    top 查看系统状态,发现 load average 平均负载值非常高,再看排名第一的进程,是一个不认识的进程名:minerd

    感觉是被入侵了,上网搜了下minerd是什么东西,是个挖矿程序,看来的确被入侵了,被抓来当矿工了

    查看进程信息

    ps -ef | grep minerd

    是tmp下的一个文件

    马上执行 kill 杀掉这个进程,并删除对应文件

    再次 top 命令查看,资源占用恢复正常

    因为木马有自我改名、自我复制、自动运行的能力,担心还会有问题,就继续观察

    果然过了一段时间后,资源又被占满,这次就不是 minerd 进程了,是一个名为 klll 的新进程

    再次执行 kill 杀掉进程和删除对应文件

    补漏过程

    (1)检查定时任务列表,删除一切我不清楚的任务


    crontab -l

    more /etc/crontab


    (2)检查开机自启动配置,移除一切非必须的程序


    chkconfig --list | grep 3:on

    more /etc/rc.d/rc.local

    more /etc/rc.local


    (3)检查用户列表,把非必要的用户都设置为不允许登陆,并修改现有用户密码,提高密码强度


    (4)更改ssh端口,设置ssh登录IP的白名单


    重启系统,观察一段后,一切正常

  • 相关阅读:
    原型模式
    哈希表原理
    Pow共识算法
    C++虚函数的工作原理
    TCP三次握手与四次分手
    TCP重置报文段及RST常见场景分析
    Ping、Traceroute工作原理
    ARP协议
    Rust生命周期bound用于泛型的引用
    Linux下core dump
  • 原文地址:https://www.cnblogs.com/chunguang/p/5758082.html
Copyright © 2011-2022 走看看