事件发现原因:想使用某个服务,发现服务挂掉了,然后通过其他方式登录到Linux主机,启动服务发现服务启动不了,随后查看crontab列表发现蹊跷,然后逐步处理
定时任务列表
@daily /var/tmp/.../.logs/1
@reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
@reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
@monthly /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
@monthly /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
拿着这个去百度一下,发现是挖矿程序
2、第二步骤,保留证据,查看登录日志
[root@localhost ]# last
root pts/1 203.168.10.0 Tue May 17 17:36 - 18:06 (00:30)
root pts/5 203.168.10.0 Tue May 17 17:22 - 18:06 (00:44)
root pts/4 203.168.10.0 Tue May 17 17:20 - 19:33 (02:12)
root pts/5 203.168.10.0 Tue May 17 16:05 - 17:11 (01:06)
root pts/4 203.168.10.0 Tue May 17 16:03 - 16:21 (00:17)
root pts/3 203.168.10.0 Tue May 17 16:03 - 18:15 (02:11)
root pts/3 203.168.10.0 Tue May 17 14:29 - 14:58 (00:29)
root pts/2 203.168.10.0 Tue May 17 14:28 - 17:36 (03:08)
root pts/1 203.168.10.0 Tue May 17 14:24 - 17:35 (03:11)
发现外地IP登录
查询登录账号,发现root登录
3.第三步:
1)修改用户密码,以及VNC密码,然后把免密码登录ssh删除掉
2)删除掉/var/tmp/.../.logs/下面的文件
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/1
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../
3)删除ssh认证失败,我可是Root用户,
通过chatrr 命令常与 lsattr 命令合用处理,解决掉这个问题
4)查看系统用户是否有增加/etc/shadow
5)查看自动启动文件有没有被改动 /etc/rc.local
6)查看命令,有没有被别名化
[root@localhost ~]# cat .bashrc
# .bashrc
# User specific aliases and functions
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
4、重启观察是否还有诡异的进程