Linux木马清理记录
半夜阿里云短信提示有文件异常下载。
早上登录阿里云一看,全是安全警告消息:服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:XX)的访问
服务器被入侵,并当做肉鸡了...
登录服务器发现cpu占用量大的进程,很不对经
病毒文件名:2t3il.p、ddgs.3011 (一看就不是什么正经的进程名,ddgs.3011是后来发现的)
find / -name 2t3il.p 查找文件所在路径,发现在/tmp下,ddgs.3011也在/tmp下
试着用crontab -l 查一下定时任务,果然发现了些东西
用浏览器打开了上面的地址,好家伙,原来上面那两个病毒文件是在这下的,还创建了2个定时任务
先清掉这两个定时任务,再删掉 /tmp 下的两个文件
可还是没效果...
最后重启了服务器,终于没再发现病毒了