1. 前言
最近在學習遠程連接Docker
,需要開啓TCP
;都說容易被別人獲取root
權限,開始沒以爲然,慢慢我感覺遠程操作服務器越來越緩慢,top
命令後發現還真被挖礦了…第一次嘛沒什麼經驗,簡單的幹掉可疑進程後重啓了服務器,就沒管了,結果兩天後發現又被挖了…
2. 思路
top
查看進程,佔高達90%CPU
以上基本都是可疑的ls -l /proc/$PID/exe
查看可疑進程所在目錄kill $PID
幹掉可疑進程rm -rf $DIR
刪掉可疑進程所在目錄service crond status
查看是否開啓了定時任務- 如果開啓了定時任務,就進入目錄
cd /var/spool/cron/
,這裏的文件記錄着每個用戶的定時任務 rm -rf $FILE
刪掉可疑定時任務文件service crond stop
關閉定時任務cat ~/.ssh/authorized_keys
查看配置的公鑰,可能會出現一到多個沒見過的公鑰,編輯文件刪除可疑的公鑰或者重新生成密鑰cd /home/ && ls -all
進入到此目錄下查看可疑用戶userdel [-r] $USERNAME
刪除可疑用戶cat /etc/sudoers
查看 sudo 文件中是否有可疑用戶添加了 sudo 權限,編輯文件刪除可疑用戶的 sudo 權限,例如$USERNAME ALL=(ALL) ALL
這種格式的
3. 結語
好幾天了,沒啥動靜了。阿,快樂。
希望能夠幫助到你
over