1. 前言
最近在学习远程连接Docker
,需要开启TCP
;都说容易被别人获取root
权限,开始没以为然,慢慢我感觉远程操作服务器越来越缓慢,top
命令后发现还真被挖矿了…第一次嘛没什么经验,简单的干掉可疑进程后重启了服务器,就没管了,结果两天后发现又被挖了…
2. 思路
top
查看进程,占高达90%CPU
以上基本都是可疑的ls -l /proc/$PID/exe
查看可疑进程所在目录kill $PID
干掉可疑进程rm -rf $DIR
删掉可疑进程所在目录service crond status
查看是否开启了定时任务- 如果开启了定时任务,就进入目录
cd /var/spool/cron/
,这里的文件记录着每个用户的定时任务 rm -rf $FILE
删掉可疑定时任务文件service crond stop
关闭定时任务cat ~/.ssh/authorized_keys
查看配置的公钥,可能会出现一到多个没见过的公钥,编辑文件删除可疑的公钥或者重新生成密钥cd /home/ && ls -all
进入到此目录下查看可疑用户userdel [-r] $USERNAME
删除可疑用户cat /etc/sudoers
查看 sudo 文件中是否有可疑用户添加了 sudo 权限,编辑文件删除可疑用户的 sudo 权限,例如$USERNAME ALL=(ALL) ALL
这种格式的
3. 结语
好几天了,没啥动静了。阿,快乐。
希望能够帮助到你
over