昨天配置了一天的aws今天就中招了,心痛一批
1. 使用top命令可以明顯的 看到 zigw 程序,記下
程序號2. 需要知道的是
3 執行命令 crontab -l 可以檢視到有幾個定時器,crontab -r 清除是沒有用的
4 目錄 /root/.ssh 下面 authorize_key 是攻擊者留下的後門
3 .解決方法
1 kill -9 zigw程序號
2 編輯定時器 在 /var/spool/cron 目錄下有檔案 root,dump.rdb (可能還有多個檔案)
使用 vi root 時 可能提示許可權不足,
使用 命令 lsttar root 可以看到 -------i ------- root
使用 命令 chattr -i root 去除 檔案許可權
一直到lsttar root --------------------- root 沒有任何許可權
然後 vi root 清空檔案內部所有內容 :wq 儲存
使用 vi dump.rdb 時 可能提示許可權不足,
使用 命令 lsttar dump.rdb 可以看到 -------i ------- dump.rdb
使用 命令 chattr -i dump.rdb 去除 檔案許可權
一直到lsttar dump.rdb --------------------- dump.rdb 沒有任何許可權
然後 vi dump.rdb 清空檔案內部所有內容 :wq 儲存
3 刪除zigw 檔案 /etc 目錄下 刪除 zigw gmdpr2 sh2.sh(這個檔案可能沒有)
刪除的時候可能提示沒有許可權 都需要使用 lsattr ,chattr 清除 檔案的許可權 之後使用rm -rf zigw 刪除檔案
4 刪除/root/.ssh/ 下 authorize_key 檔案
刪除的時候可能提示沒有許可權 都需要使用 lsattr ,chattr 清除 檔案的許可權 之後使用rm -rf authorize_key 刪除檔案
4.出現這個問題主要是有redis 引起的,所有一定要及時關閉redis埠,處理完成之後修改redis埠。修改redis bind 和密碼,防止再次中招
centos7 2被感染zigw挖礦病毒處理
crontab r發現報錯,沒有許可權,這是因為檔案加了 i 屬性,檢視是否有i屬性用lsattr 檔案路徑逐個用chattr i 去i屬性,然後刪除cron下面的root下的定時任務 kill 9 程序號 ps ef grep zigw發現指令碼在 etc zigw,刪除該指令碼,也是加了 i屬性...
Sysrv hello挖礦病毒
麻蛋我的伺服器也中了這個挖礦病毒 先看一下網上能找到的文章吧 講了一大堆原理,你倒是給我解決辦法啊?1 先殺了程序 sysrv,network01 2 修改定時任務 crontab e 媽耶,看一下機器cpu就能看出來,3個小時以後又中毒了 3 我重灌系統了,鬼知道是什麼問題 這並不能徹底解決問題 ...
挖礦病毒BearMiner
1 病毒現象 1 伺服器存在卡頓現象。2 setring.exe執行了多個執行緒進行挖礦,監測到cpu占有率達到75 3 setring.exe挖礦檔案被釋放在c program files x86 microsoft msbuild setring.exe,特意偽裝成為了nvidia的檔案 nvi...