收到告警信息,有一台服务器被攻击,留下了挖矿程序。清理过程如下:
1、top命令找到可疑程序:
2、找到之后,就把这个程序kill掉了,但是过了一会儿,发现程序又自动起来了
3、怀疑有定时任务,于是查看定时配置,发现了可疑的配置:
4、注释掉定时任务(没有立即删除,先注释掉了)
5、重新杀掉新的libstdc进程
6、查找本地是否存在i.sh和libstdc文件,发现没有i.sh,有libstdc这个文件:
[[email protected] ~]# find / -name "i.sh"
[[email protected] ~]# find / -name "libstdc"
/etc/libstdc
7、删除/etc/libstdc文件。但是在文件删除时遇到了报错:
[[email protected] etc]# rm -rf libstdc
rm: cannot remove ‘libstdc’: Operation not permitted
查看了libstdc文件的权限,没有发现问题。rm命令也也没有发现被设置了别名。经过网上查询才知道可能是libstdc文件被设置了隐藏属性:
[[email protected] etc]# lsattr libstdc
----i--------e-- libstdc
去掉隐藏属性,再删除文件就可以了
[[email protected] etc]# chattr -i libstdc
[[email protected] etc]# rm -rf libstdc
[[email protected] etc]#
8、检查进程,发现进程没有再起来了。
9、整个开了两个窗口,一个窗口删除进程、文件等操作,一个窗口随时关注程序是否自动起来。
原文地址:http://blog.51cto.com/10950710/2096860
时间: 2024-10-12 03:00:49