首先执行top指令,发现CPU被一个Bash64进程给占满了。
top
尝试使用kill命令杀死进程,发现会自动出现一个新的Bash64进程。
kill -9 14692
查看定时任务
crontab -l
发现有一个新的定时任务出现。
编辑定时任务列表,去掉该任务。
crontab -e
保存后查看发现该定时任务还在。
看样子木马应该还存在一个守护进程
查看Bash64的路径信息
ll /proc/14692/exe
找到Bash64所在的路径/root/.tmp00
进入到该路径下,并查看该路径下的文件
cd /root/.tmp00
ls
发现该路径下存在bash,bash64等几个文件
尝试删除该目录
rm -rf /root/.tmp00
失败
尝试删除该目录下的文件
rm -rf /root/.tmp00/bash64
失败
使用vi命令编辑目录下的几个文件
vi bash64
把目录下的木马文件损坏
然后杀死bash64和bash的进程
重新top,发现木马进程没有再起来
重新编辑定时任务列表,去掉木马任务,再次查看定时任务,发现木马任务没有再出现。
亡羊补牢:
去掉端口号中的危险端口,只保留必要的端口,数据库访问端口采用白名单只授权给必要的IP。