自己的腾讯服务器,redis的公网端口开启了,被木马入侵
1、杀掉进程
top 找到pnscan 的pid
kill -9 pid
2、删除文件
找到进程对应的文件
ps aux|grep pnscan
pwdx pid
找到pid的工作目录删除
可能会有有些文件删除不掉
[root@VM-0-9-centos tmp]# rm -rf redis2
rm: cannot remove ‘redis2’: Operation not permitted
解决方案:
这时候需要使用到Linux的chattr命令, chattr命令用于改变文件属性。这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式:
a:让文件或目录仅供附加用途。
b:不更新文件或目录的最后存取时间。
c:将文件或目录压缩后存放。
d:将文件或目录排除在倾倒操作之外。
i:不得任意更动文件或目录。
s:保密性删除文件或目录。
S:即时更新文件或目录。
u:预防以外删除。
语法chattr[-RV][-v<版本编号>][+/-/=<属性>][文件或目录…]参数
-R 递归处理,将指定目录下的所有文件及子目录一并处理。
-v<版本编号> 设置文件或目录版本。
-V 显示指令执行过程。
+<属性> 开启文件或目录的该项属性。
-<属性> 关闭文件或目录的该项属性。
=<属性> 指定文件或目录的该项属性。
[root@VM-0-9-centos tmp]# lsattr -a
-------------e-- ./.
-------------e-- ./..
----i--------e-- ./kdevtmpfsi
-------------e-- ./systemd-private-50ebefbf00b54f2c8dededb6a1ecfd6a-nginx.service-X0M2Fu
-------------e-- ./virtio_blk_affinity_udev.log
-------------e-- ./stargate.lock
-------------e-- ./nv_driver_install.log
----i--------e-- ./redis2
我们可以看到文件属性有i,i表示不得任意更动文件或目录,将文件属性取消即可
[root@VM-0-9-centos tmp]# chattr -i kdevtmpfsi
[root@VM-0-9-centos tmp]# chattr -i redis2
[root@VM-0-9-centos tmp]# rm -rf redis2
[root@VM-0-9-centos tmp]# rm -rf kdevtmpfsi
注意:redis启动一定要设置密码。在redis.conf 中 requirepass XXX,服务器公网端口尽量关闭