- 生产环境一台服务器中了木马病毒,阿里云提示有挖矿程序在运行
- top查看cpu占用率达到100%,并且是一个未知程序,停掉后占用率回归正常
- 之后发现存在一些程序被木马病毒替换,包括ps,ss,netstat,以及木马生成了一些别的程序/usr/bin/.sshd等
- 将这些程序重命名后并将正常的程序替换掉这些程序,一段时间后发现这些正常的程序也变成了木马程序
- 再研究发现在/etc/init.d目录下出现了两个不应该的脚本,里面运行着这些木马程序,删除后,再删除上述的木马程序,问题消失
- 防范于未然,对防火墙做限制
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -d 192.168.1.1 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP
firewall-cmd --permanent --direct --get-all-rules
firewall-cmd --reload