记一次挖矿程序入侵以及解决实操!
1,过程记录
系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。
无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。
使用crontab -e查看当前系统的定时任务信息,如下:
显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下:
很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。
并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)
2,解决思路
1,crontab -e查看系统定时任务是否有恶意下载链接 2. top命令查看当前耗CPU进程& |