刚上班发现有些服务跑不起来,进入服务器查看原因:
第一部分:
一,#top
因为是刚被我kill 掉一次,kill 掉等会还会自启动,之前yam 进程占cpu 是200%
二,# vim /etc/rc.local 看下加入开机自启的内容,将它删掉保存。
三,查找yam 进程的位置,修改它的权限。
当修改权限的时候回提示,不让执行这个权限,它是用了提权:chattr
四,然后过滤出他的进程,将其干掉。
五、 当top时候过滤出wipefs 这个进程的时候:
1、 find / -name *wipefs*
chattr -i /bin/wipefs
chmod 000 /bin/wipefs -R
chattr +i /bin/wipefs
chattr -i /sbin/wipefs
chmod 000 /sbin/wipefs -R
chattr +i /sbin/wipefs
2、删除所有/etc/rc*下的启动项文件
988 rm -fr /etc/rc.d/init.d/wipefs
989 rm -fr /etc/rc.d/rc6.d/S01wipefs
990 rm -fr /etc/rc.d/rc0.d/S01wipefs
991 rm -fr /etc/rc.d/rc2.d/S01wipefs
992 rm -fr /etc/rc.d/rc4.d/S01wipefs
993 rm -fr /etc/rc.d/rc1.d/S01wipefs
994 rm -fr /etc/rc.d/rc3.d/S01wipefs
995 rm -fr /etc/rc.d/rc5.d/S01wipefs
3、[root@kvm01 rc.d]# cat /etc/resolv.conf 将dns改回正确设置
nameserver 208.67.222.222 删除掉
4、检查/etc/crontab文件,清除wipefs相关定时任务
5、vipw命令检查/etc/passwd文件,如发现类似"myadmin:x:0:0::/home/myadmin:/sbin/nologin"的超级权限用户,删除该行,保存。
6、vipw -s命令检查/etc/shadow文件,删除第5条中对应的用户行,wq!强制保存
第二部分:
如果在进行了第一部分所有的操作以及iptabeles 分别作了限制
#-A POSTROUTING -s 192.168.0.26/32 -j SNAT --to-source xxxxxxxxxx
还是不行,
唯一的办法是可以重新做虚拟机并且依次将服务做好迁移。
删除虚拟机之间做的互信 位于 .ssh/authorized_keys
更换复杂密码
第三部分:
加上硬件防火墙,阻挡恶意挖矿程序的植入。