今天遇到服务器被别人攻击,发现网上查询是挖矿程序,紧急处理步骤如下:
1.查看目录是否有/tmp或者/temp可疑文件,删除文件,如果文件不是可删除的则使用chmod,如果chmod不行,查看llattr /tmp ,
带i是无法删除的,chattr -i 文件或者目录名字
执行以下命令移除i:chattr -i kthrotlds name php systemd .systemd-analyze .systemd-login thisxxs watchdogs xc.x86_64
然后即可删除
2.top查看是否有占用cpu比较大的进程,kill -9 pid 杀死进程
3.杀死后可能一会又出现了进程,则查看vim /var/spool/cron/root 是否有计划任务,删除它,wq