首先執行top指令,發現CPU被一個Bash64進程給佔滿了。
top
嘗試使用kill命令殺死進程,發現會自動出現一個新的Bash64進程。
kill -9 14692
查看定時任務
crontab -l
發現有一個新的定時任務出現。
編輯定時任務列表,去掉該任務。
crontab -e
保存後查看發現該定時任務還在。
看樣子木馬應該還存在一個守護進程
查看Bash64的路徑信息
ll /proc/14692/exe
找到Bash64所在的路徑/root/.tmp00
進入到該路徑下,並查看該路徑下的文件
cd /root/.tmp00
ls
發現該路徑下存在bash,bash64等幾個文件
嘗試刪除該目錄
rm -rf /root/.tmp00
失敗
嘗試刪除該目錄下的文件
rm -rf /root/.tmp00/bash64
失敗
使用vi命令編輯目錄下的幾個文件
vi bash64
把目錄下的木馬文件損壞
然後殺死bash64和bash的進程
重新top,發現木馬進程沒有再起來
重新編輯定時任務列表,去掉木馬任務,再次查看定時任務,發現木馬任務沒有再出現。
亡羊補牢:
去掉端口號中的危險端口,只保留必要的端口,數據庫訪問端口採用白名單隻授權給必要的IP。