1、top查看,找占CPU高的进程,看cpu占用率
2、使用命令ps -aux --sort=-pcpu|head -10查找,果然找到了这个程序带有Ssl 记下pid
3、进去6646目录
cd /proc/6646(木马pid)
)
4、用ll命令查看
[root@izwz9hcixm5361yy4uz40az 6642]# ll
total 0
dr-xr-xr-x 2 root root 0 Dec 8 15:47 attr
-rw-r--r-- 1 root root 0 Dec 8 15:47 autogroup
-r-------- 1 root root 0 Dec 8 15:47 auxv
-r--r--r-- 1 root root 0 Dec 8 15:47 cgroup
--w------- 1 root root 0 Dec 8 15:47 clear_refs
-r--r--r-- 1 root root 0 Dec 8 15:20 cmdline
-rw-r--r-- 1 root root 0 Dec 8 15:47 comm
-rw-r--r-- 1 root root 0 Dec 8 15:47 coredump_filter
-r--r--r-- 1 root root 0 Dec 8 15:47 cpuset
lrwxrwxrwx 1 root root 0 Dec 8 15:47 cwd -> /
-r-------- 1 root root 0 Dec 8 15:47 environ
lrwxrwxrwx 1 root root 0 Dec 8 15:20 exe -> /x (deleted) 红色标志
5、搜索exe(删掉后,又新起来的9016程序)
[root@izwz9hcixm5361yy4uz40az 9016]# find -name exe
./task/9016/exe
./task/9474/exe
./task/9475/exe
./task/9476/exe
./exe
[root@izwz9hcixm5361yy4uz40az task]# pwd
/proc/9016/task
6、首先杀掉上面这个占CPU高的进程 kill -9 6642
7、再使用top查看CPU,马上就降下来了。
8、删除整个程序目录。
rm -rf /x
9、通过crontab -l 查看该用户下的所有定时任务
REDIS0006ÿܳC?V[root@izwz9hcixm5361yy4uz40az 6642]#
10、删除定时任务
crontab -r
11、cat /etc/passwd 检查是否有未知用户
12、检查是否对未知用户授权
[root@izwz9hcixm5361yy4uz40az ~]# find -name .ssh
./.ssh
[root@izwz9hcixm5361yy4uz40az ~]# cd ./.ssh
[root@izwz9hcixm5361yy4uz40az .ssh]# pwd
/root/.ssh
[root@izwz9hcixm5361yy4uz40az .ssh]# ll
total 8
-rw-r--r-- 1 root root 733 Dec 5 17:39 authorized_keys
-rw-r--r-- 1 root root 768 Dec 5 16:55 dump.rdb
13、到/tmp目录下查看
srwxr-xr-x 1 root root 0 Dec 8 19:25 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>
drwxr-xr-x 2 root root 4096 Dec 8 17:20 hsperfdata_root
-rw-r--r-- 1 root root 73 Dec 7 13:26 lua_vaForG
drwx------ 2 root root 4096 Dec 5 17:39 _MEItYmm22
drwx------ 3 root root 4096 Dec 8 19:24 systemd-private-0137a118221c45ec8cceb0fb3abcd6af-ntpd.service-rw0fcg
14、/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
15、把redis删除,以普通用户身份重新安装
1)在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis。
2)设置访问密码。在 redis.conf 中找到“requirepass ”字段后面有空格,这行前面不能后空格,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。
3)查看redis进程ps -ef|grep redis
4)修改redis服务运行账号
16、最后提醒下,重要的端口要改为其他端口,服务器的一些高危端口千万不要随便开启啊,如果用阿里云搭建集群的话可以配置安全组规则,针对于特定的主机开放端口,不要对所有ip开放端口。