1、登录服务器发现异常,hosts文件被清空锁定无法修改和crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。
2、判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)
3、解锁文件并删除定时任务:
chattr -ia /etc/cron.d/root
chattr -ia /etc/crontab
chattr -ia /var/spool/cron/root
chattr -ia /etc/hosts
4、找到运行的木马程序,删除木马程序目录(top命令和ps -ef命令)
5、判断可能是黑客利用redis漏洞攻击了服务器,修改redis默认端口,配置redis复杂密码;
6、修改ssh远程连接端口(不用默认的22):
vim /etc/ssh/sshd_config
service sshd restart
7、最好给服务器配置新的密钥文件