从mysql被勒索后,web服务器也好像被植入了未知矿机定时任务。
用crontab -l 命令看了系统的定时任务,发现不明服务连接。
查看用户可以操作文件的权限 -a 只可以追加,-i 为锁定,如果是锁定状态,可以用chattr命令-a 或者 -i 对文件进行去除权限。
lsattr /var/spool/cron
暂时用 chattr +i /var/spool/cron 锁定了添加定时任务的文件 +是锁定 - 是解锁 ,root用户才有权限执行。
chattr +i