本人手上有一台拥有外网IP的CentOS7服务器。今天照例登陆进行作业,发现敲个命令的卡顿卡顿的。
于是顺手top看看,我了个草:java.log 这个进程CPU占用率高达 90%
... wait... java.log是个什么鬼,我不记得最近有用到java的地方啊。于是ps看看这个进程启动路径:/tmp/java.log
再ls -l看看这个java.log: 尼玛,777的权限。到这里基本可以肯定+ 确定:中招了
先killall java.log,可以杀掉。 但是这么容易能叫Trojan么,果不其然,不出几秒钟,ps又可以看到它起来了。
再杀/tmp/java.log这个agent,果然没这么容易被删:
rm -rf /tmp/java.log
Permission Denied
蛋疼的只好又去google:为啥root都删不掉呢。
学习了个新的命令:chattr +i filename
再检查下java.log, 果然是这么回事~
去掉i属性,顺利删了~
就这么结束了?Too Simply too naive, 等了几秒钟,java.log进程又回来了。
我了个大草。
直接ps -Al 查看java.log的父进程,发现了这么个玩意:.sshd
这。。。怪不得我检查/usr/bin下面的目录的时候 没发现啥多出来的玩意。
找到就好办:杀杀杀
杀完了,再去/etc/rc*目录下检查,果然一堆启动项。
用find 命令,全杀了:
好了,至此,java.log至今没有被恢复,基本可以认为杀干净了。
检查/var/log/secure发现巴拿马/韩国 IP试图ssh我的服务器,不是代理就是肉鸡。
写个hosts.deny暂时屏蔽它。我也想过用hosts.allow白名单是不是更安全,但是很多同事想从家里链接,没法一个个添加白名单,所以还是算了~