故事背景最近收到一个报警信息,一直提示服务器CPU占用100%,然后登录服务器用top查看没有进程那特别占用CPU。立即,第一直觉是最高命令已被禁用。篡改。需要使用其他工具。安装busybox系统有问题。如果登录后发现用正常的命令找不到问题,很有可能是命令被篡改了。BusyBox是一款集成了300多个最常用的Linux命令和工具的软件,包括我需要的top命令。>busyboxtop终于看到了这个kthreaddi进程。在网上查了一下,这个东西叫门罗币挖矿木马。按常规方式清理门罗币挖矿木马先try>kill-96282过一会又会升起,说明系统中有守护进程查看定时任务>crontab-l0****/tmp/sXsdc发现这个,一看就不是什么好东西,清理一下crontab,crontab-edd:wq!运行一会,观察一会,又出来0****/tmp/xss00,可执行程序的名字变了,看来处理这个没用,这些文件都是二进制的,而且当你直接打开它们时,你什么也看不到。去内核数据目录找>ls-alll/proc/62826282是刚才的挖矿进程,tmp下有一篇文章,后来删了,先不管了>/tmp/.dHyUxCd/>ls-alconfig.json里有一些配置,里面查到一个美国IP,清理病毒删除/tmp/.dHyUxCd/目录。可能是redis的弱密码被入侵了。先停止docker(稍后需要时间在Docker中启用TLS进行安全配置),并稍微增加redis密码的强度。原文链接:https://rumenz.com/rumenbiji/...微信公众号:入门站
