做一个网站加优化排名得多少钱,彩妆网站建设策划书,响应式网站跟一般网站的区别,国外炫酷网站欣赏前阶段生产服务器又中挖矿病毒了#xff0c;紧急处理了一波
现象
执行 top命令#xff0c;查看哪里cpu占用较高
CPU 彪满下不来 解决
1、杀掉进程 kill -9 pid
2、但是#xff0c;过一会又不行了#xff0c;说明有定时任务在定时执行这个病毒
3、先找到病毒文件…前阶段生产服务器又中挖矿病毒了紧急处理了一波
现象
执行 top命令查看哪里cpu占用较高
CPU 彪满下不来 解决
1、杀掉进程 kill -9 pid
2、但是过一会又不行了说明有定时任务在定时执行这个病毒
3、先找到病毒文件删掉
find / -name xmrig 4、删掉c3poo整个文件夹
cd /home/tomcat
rm -rf c3pool
5、全局再找找还有没有 find / -name c3pool/
6、检查隐藏文件和目录避免漏网之鱼
# 这些可能是病毒的一部分
find / -name .* -print
还没完
一会又回来了。 以上操作只是把病毒文件删了但是任务还没删一会还会回来 1、检查定时任务
# 查看当前用户的cron任务
crontab -l# 检查cron服务的状态
systemctl status cron
# 或者老系统执行
service cron status# 查看 cron 日志
cat /var/log/cron现象
crontab -l 发现没有定时任务状态也正常
但是cron 日志却一直有任务说明被隐藏了
继续放大招
检查所有用户的Crontab任务
即使您已经检查了当前用户的cron任务病毒也可能在其他用户的cron任务中设置了定时执行。使用以下命令来查看系统上所有用户的cron任务
for user in $(getent passwd | cut -f1 -d:); do echo $user; crontab -u $user -l; done
卧槽你妈真 TM 有藏得够深 解决
1、删除cron任务
# 删除用户 tomcat 的cron任务这些任务负责重新下载和运行xmrig挖矿脚本。
crontab -u tomcat -r2、删除下载的脚本和相关文件
根据crontab中的输出需要删除以下文件
定时下载的脚本这通常位于 /tmp 目录下可能需要根据实际文件名进行搜索。
/home/tomcat/.ssh/miner.sh这是系统启动时运行的脚本。
rm -f /tmp/*setup_c3pool_miner.sh
rm -f /home/tomcat/.ssh/miner.sh 如果出现无法删除文件的报错 # 先解锁下文件再删除下
chattr -ia 文件名rm -r 文件名
其他
如果杀不掉 PID可查找进程数杀父进程开始 pstree -p | grep 6386
Linux 主机安全加固
如下是华为云工单提供的解决方案
设置所有OS系统口令包括管理员和普通用户、数据库账号口令、应用WEB系统管理账号口令为强口令密码12位以上将主机登录方式改为秘钥登录彻底规避风险 强口令设置要求参照账户密码最佳实践-云社区-华为云秘钥登录设置参照云主机密码被暴力破解是云租户安全的头号敌人小编带你来解-云社区-华为云
严格控制系统管理员账户的使用范围为应用和中间件配置各自的权限和并严格控制使用范围。
禁止不必要的端口直接暴露在公网设置防火墙规则或配置安全组策略来禁止端口开放情况非公共开放的业务端口如SSH建议设置只允许特定的IP进行连接安全组配置示例链接如下安全组配置示例_虚拟私有云 VPC_华为云
启动安全组白名单策略根据业务需求对外开放端口对于特殊业务端口建议设置固定的来源IP如远程登录或使用VPN、堡垒机建立自己的运维通道。建议定期做好数据备份虚拟机内部备份异地备份云上云下备份等避免被加密勒索定期检查系统和软件中的安全漏洞及时打上补丁HSS 主要是对您的主机异常行为以及主机内存在的漏洞进行检测告警并且hss支持隔离查杀这个需要您自行开启下
开启恶意程序隔离查杀_企业主机安全 HSS_华为云 xxl----job做好加固。
主机已确认被入侵系统已变的不可信任为安全起见建议备份数据择机重装系统给所有账户及应用设置强密码在安全组里对端口做限制如22等。
xxl-job加固
XXL-JOB未授权访问漏洞预警-华为云
最后建议
1、开启主机防护吧多花点钱解决大问题
2、设置 ip 白名单吧
3、更改一下 ssh 的默认 22 端口吧
4、配置 RSA 秘钥吧
5、更改一下密码吧
6、限制一下 root 账户登录吧
