[Centos7] 记一次恶意脚本代码执行 - 处理
遇见这种情况有两个问题需要处理
- 定时任务 存在 >/dev/null 2>&1 造成占满系统cup、内存卡死的情况
- 挖矿程序入侵问题
-
第一个问题
原因:在定时任务钟增加了 >/dev/null 2>&1 的定时任务,造成占满系统cup、内存卡死的情况
- 处理
查看定时任务,是否有存在 >/dev/null 2>&1 的定时任务
crontab -l
编辑删除对应任务
crontab -e
如果提示无权限操作,查看对应目录权限
lsattr /var/spool/cron
会发现权限为
----ia------ /var/spool/cron/root
删除权限
chattr -ia /var/spool/cron/root
提示 chattr: command not found 则需要重新安装 e2fsprogs
先清理:yum remove e2fsprogs
在安装:yum -y install e2fsprogs
再去删除权限, 查看权限就变成了
------------ /var/spool/cron/root
再去编辑删除对应定时任务 ,完成!
-
第二个问题
原因:top 命令异常,被篡改为 top.lanigiro ,在top面板上隐藏了名为ddns、httpd的程序
- 处理
进入
/usr/bin目录,查找top可执行文件
ll /usr/bin/top*
你会发现存在 top 和 top.lanigiro 两个可执行文件
top命令被篡改桥接,原top文件已被命名为:top.lanigiro。并且,在top面板上隐藏了名为ddns、httpd的程序
恢复top面板
1.备份文件
cp top top.bak
cp top.lanigiro top.lanigiro.bak
2.将top命名为top.rm
mv top top.rm
系统提示:无权限修改,通过 lsattr 命令查看 top 被加了锁,通过 chattr 命令解锁,在将top命名为top.rm
3.恢复top命令
mv top.lanigiro top
到此,Top命令恢复了,开始解决问题!
在使用 top 命令,查看时多了一个 ddns 的进程,输入C(展示运行命令)、输入P(展示按CPU排序)
进入 对应 目录 删除掉 ddns 这个进程文件,并且使用 kill 结束掉这个进程,就会发现CUP占用率瞬间下降。
除此之外,这东西还建立了 lsb 的账户,进入home目录删除 lsb ,路径如下
cd /home
rm -rf /lsb
删除时,也会提示权限不足,还是需要对/home/lsb/.ssh目录下的authorized_keys和authorized_keys2文件进行解锁操作。
chattr -ai authorized_keys
chattr -ai authorized_keys2
再去执行删除 lsb 目录即可。
也不晓得具体解决这个问题没,归纳总结各个博客文档。
该病毒入侵可由Redis端口扫描入侵,因此Redis密码切记设置复杂些,禁止应用无密码‘裸奔’。内存无法释放时,使用reboot进行服务器重启。
