因爲之前開放docker端口2375所以服務器就被入侵了,bbb程序一直跑滿服務器的CPU,而且關不掉,進程關掉後自己就又啓動了,所以是一直有定時任務在背後搗鬼。
執行命令 top 可以看到bbb進程佔滿了cpu
然後通過 ps aux|grep bbb 命令找到文件所在位置 /var/tmp/bbb/bbb
通過 crontab -l 命令查看定時任務
然後執行 echo > /var/spool/cron/root 會發現權限不夠
執行 lsattr /var/spool/cron/root 查看特殊權限
chattr -ia /var/spool/cron/root 清楚特殊權限
再執行 echo > /var/spool/cron/root 成功刪除定時任務
然後執行 kill -9 bbb進程號 關閉進程 清理crontab文件
然後執行 chattr -u /var/tmp/bbb/bbb
chattr -ia /var/tmp/bbb/bbb 清除bbb文件特殊權限
再使用 rm -rf /var/tmp/bbb 刪除源文件
然後 top 查看bbb進程是否被刪除
建議2375等一些重要端口,設置爲固定來源IP才能訪問,不然這些端口很容易被黑客利用