1,最初发现病毒是因为npm install前端项目报错找不到document,找到报错的地方,发现js文件多了这行代码
2,top命令查看cpu情况,发现一个zigw占用cpu194%
3,find / -type f -name '*.js'|xargs grep 'http://t.cn/EvlonFh'查找所有感染病毒的文件,太多了
4,删除定时任务
crontab -r发现报错,没有权限,这是因为文件加了 -i 属性,查看是否有i属性用lsattr *,文件路径逐个用chattr -i *去i属性,然后删除cron下面的root下的定时任务
5,停掉病毒进程
ps -aux | grep zigw
kill -9 <进程号>
6,下面开始找病毒脚本
ps -ef|grep zigw发现脚本在/etc/zigw,删除该脚本,也是加了-i属性的
7,查看任务计划的配置文件看有没有问题,有就删除相应内容
ls -alh /etc/cron.d/
rm -f /etc/cron.d/root
8,恢复系统中被修改的js文件
find / -name '*.js' | xargs grep -l f4ce9 | xargs sed -i '/f4ce9/d'
9,总结
网上说主要是redis漏洞导致,redis默认是没有密码的
1,给redis设置很复杂的密码
2,修改了redis的默认端口号
腾讯云防范
1,关闭服务器密码登录,启用密钥登录
2,指定可使用云服务的ip,port,其他ip,端口一概不能访问