檢視指定日誌修改過的檔案:
[root@izbp12v0moqn078lm0t0l5z 2018-04-26]# find /data/www/manage -ctime 0 -exec ls -lg {} \; |grep 'apr 26'
檢視一天內修改過的檔案:
find / -ctime 0
查詢/home路徑內最近1天被修改過的塊普通檔案:
find /home -mtime 0 -type f
查詢當前目錄下,最近24-48小時修改過的普通檔案,並顯示詳細資訊
find . -mtime 0 -type f -ls
挖礦程式清理:
1,top檢視當前程序:
pkill wipefs
2,刪除crontab下得計畫任務
vim /var/spool/cron檔案中得任務
vim .viminfo 檢視操作記錄
查詢當前修改檔案記錄:find /home -ctime 0
wipefs是linux自帶的程式,用來擦除檔案系統資料,也就是下面那個人回答的。正常的wipefs,路徑在/usr/bin/wipefs,如果你沒有做設定,不會自啟動,也不會大量占用cpu。你可以看一下是否是 /bin/wipefs 程序,如果是,應該是你的機器被黑了,這是別人在你機器上放了挖礦程式。
此程式會:
1.進行挖礦計算,大量占用cpu。
2.複製自己到/bin/wipefs,建立服務/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。
3.釋放子程式到 /bin/ddus-uidgen,建立服務/etc/init.d/acpidtd,並在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。
4.修改/etc/resolv.conf, 可能是為其連線礦機服務的網域名稱做服務。
5.修改/etc/crontab, 為自己建立定時任務,每天12點與0點開始執行。(所以你會發現第二天又啟動了)
你需要做的:
1.刪除 /etc/crontab 中的定時任務。
2.刪除以下檔案:
/bin/wipefs
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/s01wipefs
/etc/rc1.d/s01wipefs
/etc/rc2.d/s01wipefs
/etc/rc3.d/s01wipefs
/etc/rc4.d/s01wipefs
/etc/rc5.d/s01wipefs
/etc/rc6.d/s01wipefs
/etc/rc.d/rc0.d/s01wipefs
/etc/rc.d/rc1.d/s01wipefs
/etc/rc.d/rc2.d/s01wipefs
/etc/rc.d/rc3.d/s01wipefs
/etc/rc.d/rc4.d/s01wipefs
/etc/rc.d/rc5.d/s01wipefs
/etc/rc.d/rc6.d/s01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd
檢查機器漏洞,ssh許可權,防火牆等,避免機器再次被攻擊。
以上是網友提供的方法,以下是個人處理過程:
1,使用find指令
#查詢系統中被設定了setuid的檔案:
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;`
#檢視擁有指定許可權檔案:
find / -type f -perm 700 |xargs ls -al
#檢視包含特殊內容的檔案:
find / -mount -type f -exec sh -c 'grep -q "\.minexmr\.\|wipefs" "{}"' \; -print ; find /tmp -mount -type f -exec sh -c 'grep -q "\.minexmr\.\|wipefs" "{}"' \; -print ;
find /opt -mount -type f -exec sh -c 'grep -q "\.xyz\.\|wipefs" "{}"' \; -print;
對檔案包含wipefs欄位的檔案酌情刪除。
2,通過檢視tomcat的相關日誌,發現tomcat存在遠端執行**漏洞,通過公升級tomcat此次問題已經解決。
阿里雲伺服器手動清除挖礦病毒
阿里雲伺服器ecs較便宜的版本,其安全性不高。如果再加上人為相關的不當操作,伺服器很容易受到攻擊。其中一種情況是伺服器受到挖礦程式的攻擊。登入到伺服器檢視程序,可以發現cpu占用很高的兩個程式 sysupdate和networkservice。檢視挖礦程式目錄 輸入命令ls l proc exe,可...
阿里雲伺服器存在惡意挖礦程式
阿里雲發了很多簡訊。進入伺服器,發現速度緩慢。輸入 top命令檢視cpu利用率,發現被佔滿。networkservice sysupdate這兩個程式。netstat anop 也能查詢到很多 networkservice的程式用tcp在執行,首先kill掉上述程序,但是沒有卵用,還是很卡,top命...
阿里雲伺服器處理挖礦程式過程
登入阿里雲伺服器終端,執行top命令,發現有乙個程序netflix占用了98 的cpu,消耗了我的cpu積分,阿里雲cpu積分被消耗後,網速就會變慢。判定其為挖礦程式後,1.進入 ssh 目錄 刪除兩個檔案 如果你沒有用到這兩個檔案的話 cd ssh rm rf authorized keys 你會...