排查
–
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.
这个时候就说明木马已经入侵了,不是即时入侵的.
于是自然的使用top,ps,crontab等方案去排查
- top
从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.
- ps -aux > /usr/local/ps;vim /usr/local/ps
从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸
所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器
…又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…
都到这儿了,我竟然没有想着去删除这个文件只想着杀进程,我也是服了我自己了
气死我了…
- crontab -l
呵,果然有定时器
无论是从定时器还是从ps都可以直观的看到是/etc/newinit.sh文件自动运行导致的,我没有记录这个文件的内容直接删除了,当然废了大劲.
解决
–
既然定时器中有不明定时任务那我们肯定是要删除这个定时任务的,也就是使用crontab -e去修改定时任务
…敢不敢信,这个时候我使用的root用户竟然没有修改权限
想着先删除newinit.sh文件再改定时器吧,使用rm -rf /etc/newinit.sh去删除了个文件
…也显示没权限删除
这就触及到知识盲区了,真不会啊,通过百度发现文件有隐藏权限,于是抱着试试的态度使用lsattr /etc/newinit.sh去查看…果然隐藏权限中多了ai权限
-
a不可删除文件内容
-
i不可删除文件
没截图,你们遇到这种问题的时候一定知道我在说什么,肯定不只是这个文件有ai权限,木马修改了我很多文件,其他的有截图的
绝不绝,绝绝子啊…
那么我们要做的就是把这个文件的权限修改回去了,lsattr查看权限对应的修改权限的命令是chattr命令,这个命令在/usr/bin文件夹里面
于是去使用chattr -ai /etc/newinit.sh命令去修改文件的权限
你没有猜错,修改失败,没有权限…这…
没办法去看一下chattr命令的权限(根据博主blog.csdn.net/handsomezls…
[root@daniel bin]# ls -lh chattr;lsattr chattr
-rw-r–r–. chattr
----i------------ chattr
复制代码
没办法复制了这个命令,还好cp没给我修改权限,不然废了
[root@daniel bin]# cp chattr chattr.new
[root@daniel bin]# chmod u+x chattr.new
[root@daniel bin]# chattr.new -i chattr
[root@daniel bin]# rm -rf chattr.new
[root@daniel bin]# chmod u+x chattr
复制代码
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
深开发者,这些资料都将为你打开新的学习之门!**
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
