top檢視程序資訊,發現有幾個名為kworkerds的程序,即為挖礦程序
使用crontab -l命令檢視系統定時任務,發現了它的定時任務
pastebin是任意上傳分享的平台,攻擊者藉此實現匿名,於是訪問想看看指令碼是什麼樣的,可是好像被刪掉了,有點小遺憾。
進入/var/spool/cron將對應的定時任務刪除,我這個是被放在root使用者裡面啟動的,所以直接刪掉root即可
刪除root的時候發現不能直接刪除
使用lsattr -a檢視檔案屬性,這個i表示該屬性的檔案不能被任意操作
使用chattr -i root修改root檔案屬性,再次檢視發現沒有了i
這時再用rm -rf就可以刪除了,刪除定時檔案後,還需要把當前的程序一併kill掉
使用kill -9後面加程序號(圖1裡面的pid)即可
記錄一次redis 被挖礦的經歷
專案加入redis,伺服器redis 剛開始想著先全部開發訪問,等快上線了再配置密碼什麼的。沒想到第二天就中招了額。好吧,剛開始查了cpu占有率特高,然後redis 多出bakeup1 bakeup 2.刪除了,再出現。於是就找到了問題的根源了。redis 被挖礦了。第一步,先在 root ssh ...
記一次linux挖礦木馬應急
1.拿到了乙個靶機,top檢查,發現有乙個程序cpu利用率一直在百分之百,經過特徵對比,發現是挖礦木馬 2.利用 ll proc 埠id exe 定位木馬檔案所在位置 3.rm rf 刪除掉木馬檔案 4.原本以為搞定了,過了一會發現還是有利用率百分之百情況 5.檢視 cat var spool cr...
記錄一次面試
怎麼觀察系統中 記憶體 行為 a.通過 proc zoneinfo 檔案,可以看到 free high low min pages 關係 free high 時候 一般不開啟 kswapd 執行緒 high free low 時,開啟 kswapd 執行緒 low free min時,alloc p...