转自: https://blog.csdn.net/zzf 1510711060/article/details/83015700
一)杀死开采工艺
在服务器上使用top命令检查cpu的使用情况时,发现名为java的程序占cpu的99.9%
piduserprnivirtresshrs % CPU % memtimecommand
578 root 2003735762720404 s 99.9.11252336000 Java
1 root 2004320835442420 s0.0. 20336004.52 systemd
2 root 20000 s0.0. 00:00.00 kthreadd
3 root 20000 s0.0. 00:00.08 ksoftirqd/0
5 root0- 2000 s 0.0.00:00.00 k worker/0:0 h
7 root rt 000 s0.0. 00:00.00迁移/0
这是一个开采程序伪装成java程序,当我在jps上看到java进程时没有这个程序。
用pkill 5778杀死进程
二、删除开采程序
通过cd /proc/5778 (此java开采程序的pid )访问此进程的目录,并使用ll命令确定此进程程序的位置
dr-xr-xr-x2根根根0 oct 1117336024 attr
- rw-r---r---- 1根路由0 oct 1117336024自动组
-r----1根根根0oct1117336024auxv
- r---- r---- 1根路由0 oct 1117336024 cgroup
----w----1根路由0oct1117336024clear_refs
-r----r----1根根0oct1020336018cmdline
- rw-r---- r----1root root0oct 1117336024 comm
- rw-r-- r--1root root0oct 1117336024 core dump _ filter
- r---- r---- 1根根根0 oct 1117336024 cpuset
lwxrwxrwx 1根根根0 oct 1117:24 CWD----
- r---- 1根根根0 oct 1117336024环境
lwxrwxrwx 1根根0 oct 1020:18 exe-/var/tmp/Java
dr---- x---- 2根根根0 oct 1020336018软盘
dr---- x---- 2根根根0 oct 1117336024 FD info
然后我们进入这个程序的目录找到并删除这个程序
-rwxr-xr-x1根路由2386544oct915336053Java
rm -rf java
但是,到此为止不久,这个开采过程就会恢复
三、完成开采流程定时任务
你的系统已经设定了定时任务,所以定时下载并运行采掘程序
使用crontab -l查看该用户下的所有计划任务
* * * *
无时无刻不在安静地运行这个cr.sh脚本,完成了记录。 真的很阴啊。
删除crontab -r计划任务
但是,因为很好奇这个脚本写的是什么,所以修改了这个计时器任务,下载了他的脚本,通过这个脚本运行了另一个脚本,得到了配置文件,也包括伪装成java的开采软件感兴趣的人请看一下。
3359 download.csdn.net/download/zzf 1510711060/10714458
最后请注意,绝对不要随便打开服务器上的某些高危端口。 在阿里巴巴云(AlibabaCloud )上构建群集时,请配置安全组规则,以便为特定主机打开端口,而不要为所有ip打开端口。
四.检查用户列表、 ssh文件,开机启动
cat /etc/passwd检查是否有未知用户
cat ~/.ssh/authrized_keys检查未知用户的批准
cat known_hosts检查是否存在未知主机
在打开和启动的系统配置目录(如/etc/RC.local/etc/RC.sysinit/etc/inittab/etc/profile )下,可能有一个开采程序脚本
简化步骤:
1.pkill java杀死开采过程的过程
2 .删除2.rm -rf java开采程序
3 .删除3.crontab -r计划任务
4 .检查用户列表,开机启动。 ssh文件
5 .前往Alibaba云控制台设置安全组并关闭不安全的端口
转载于:https://www.cn blogs.com/x _ Wukong/p/9856245.html