1,最近有人反馈网页打开比较忙,我到服务器上面用top 命令
看了一下
我们看见有一个进程号 6783 的进程消耗cpu比较高。
我们执行一下命令 根据进程号找到对应的执行服务
看到这个东西,我们就知道这是一个挖矿的病毒程序了
这里我们先把他杀死,之后在慢慢剥开他的面纱。
执行 以下命令
在top 看一下
好像没啥用啊,我们在删除试一下
提示我没有权限,但是我是root用户啊,怎么可能没有权限啊。
只有一种可能,文件被锁定,这里我们对文件进行解锁,
发现没有chattr 的命令,这里我们先要执行一下这个
yum -y install e2fsprogs ,完成以后我们就能删除了
top 看一下
进程还存在
再看一下对应的执行程序,
显示已经被删除了。他还在运行,说明有一个守护程序在后台运行
这里我们发现一个异常的.sh
我们把它下载下来,用nodepade++打开,
先看我红线标注的,这就有意思了。首先他设置了免密登录,丫就是root/.ssh 下面的东西我们要先删除。然后使用wget ,curl 下载这几个文件,也就是说下面这几个文件都要删除。
我们先到网上定位一下这个ip, 发现是德国的,境外网站。
在服务器上面ping 一下这个域名
解析出来的ip 是一样的,也就是说这是同一个地址。
这里尴尬的是后缀名是de 的,用whois 解析不出来。万网也不支持该域名的解析。
这里我们只能通过ip 来入手了。
这里我们看到80 端口,开放的,443 端口不开放。也就是支持http,不支持https.
再看一下 22 端口,
我擦 也是关闭的。
这段代码就是每个30秒执行,一下这个脚本,这里就是加入的免密登录的公钥。
给这些文件权限,不能修改。
我们把它全部解除,在删除,再看一下top 的命令
最后总结一下,设置redis 一定要设置密码。切记,切记,切记。
