解决方法
原因
刚买的服务器配置完redis和安全组忘记改回来了,又没加认证,被人把公钥写进服务器远程登陆导致cpu全在跑矿机程序。
解决方案
提前注意:删除不掉的文件一般是被黑客锁住了,用chattr -ia +文件名 解锁,解锁之后chmod 600就可读写了
- 第一件事不要管别的,先检查定时任务,crontab -l,里面一定会有定时脚本重启矿机程序,使用crontab -e 删除。
- cd /etc 黑客常会增加用户和用户组并给予root权限,使用ll -a查看最近修改过的文件,一般是/etc/password /etc/shadow /etc/sudoers等等,将新建的角色删除。
- 将~/.ssh中的authentication_keys删除
- 黑客还会在开机脚本/etc/rc.local和/etc/init.d/rc.local中加入他的脚本
- 将/etc/hosts和/etc/resolve.conf改回来
- ps aux把矿机进程杀掉,然后将矿机程序删除
- 将一些敏感的文件比如/etc/password 等使用 chattr +i锁住防止程序修改。