1. 前言
最近在學習遠程連接Docker,需要開啓TCP;都說容易被別人獲取root權限,開始沒以爲然,慢慢我感覺遠程操作服務器越來越緩慢,top命令後發現還真被挖礦了…第一次嘛沒什麼經驗,簡單的幹掉可疑進程後重啓了服務器,就沒管了,結果兩天後發現又被挖了…
2. 思路
top查看進程,佔高達90%CPU以上基本都是可疑的ls -l /proc/$PID/exe查看可疑進程所在目錄kill $PID幹掉可疑進程rm -rf $DIR刪掉可疑進程所在目錄service crond status查看是否開啓了定時任務- 如果開啓了定時任務,就進入目錄
cd /var/spool/cron/,這裏的文件記錄着每個用戶的定時任務 rm -rf $FILE刪掉可疑定時任務文件service crond stop關閉定時任務cat ~/.ssh/authorized_keys查看配置的公鑰,可能會出現一到多個沒見過的公鑰,編輯文件刪除可疑的公鑰或者重新生成密鑰cd /home/ && ls -all進入到此目錄下查看可疑用戶userdel [-r] $USERNAME刪除可疑用戶cat /etc/sudoers查看 sudo 文件中是否有可疑用戶添加了 sudo 權限,編輯文件刪除可疑用戶的 sudo 權限,例如$USERNAME ALL=(ALL) ALL這種格式的
3. 結語
好幾天了,沒啥動靜了。阿,快樂。
希望能夠幫助到你
over