记录又一次挖矿病毒来袭
各位小伙伴,今天又是一次因为tomat版本过低有漏洞,通过tomcat sql注入的挖矿病毒,这东西烦得很;
一大早刚来同事就跟我说服务器卡的要死,我心一惊,一想没准又是被黑,上去一看,果不其然,又中招了,防不胜防啊!
top看了一下,卧槽,果然又是这个鬼东西!
果断查找进程位置;
ll /proc/19778
根据以往经验,可能不全面,执行以下几步:
1.马上解锁降权
chattr -i /*
chmod 444 ./*
chmod -x ./*
2.改属主属组为普通用户的权限
chown -R 123.123 ./*
注:此123为服务器上的普通用户,各位同学可自行更改
3.干掉挖矿进程
kill -9 19778
4.干掉用户
userdel xsy
注:按照以往的套路,他们都会写个脚本,后端起一个进程无限启动,直接删用户是删不掉的,需要把后端执行程序权限下掉,然后kill后端进程后才能删除用户;
5.删除该用户家目录所有文件
rm -rf /home/xsy
6.查找/下所有xsy相关的文件及路径
find / -name xsy
然后删除
7.查看定时任务删除
crontab -l
8.更换root密码,升级Tomcat对应最新版本;
passwd root
两次输入密码;
停止tomcat应用,将新版tomcat下bin 和 lib 文件夹 cp到原tomcat安装路径下,原tomcat下的/bin/和lib备份或者删除;
不过这样有可能清理不干净,最直接粗暴的办法就是重做系统;
在此欢迎各位小伙伴提出意见和批评!!大家共勉!
如果此篇文章对您有一点点帮助,那么此篇文章便有了他的意义!
谢谢!!