- 首先先了解一下一些植入型病毒最喜欢的设置
- 首先是云服务器安装数据库
- 数据库开发端口为默认的 如: Oracle 1521 postgresql 5432
- 安装Redis不设置密码的
- 密码为弱密码的 如: 123456
- 不配置安全组的或者开发所有端口的
- .....
- 按照以上的经常出现的情况针对解决
- 尽量避免云服务器安装数据库如果是必须的 推荐使用docker容器在容器中部署
- 修改默认端口避免使用默认端口
- 如果用到了Redis一定设置密码 这个是挖矿程序最喜欢入侵的
- 弱密码就不用说了吧
- 安全组就以阿里云的为例 端口默认全部不开放很多人为了省心直接设置了全局开放这是万不可取的 端口开放时指定ip尽量避免对所有IP开放 如0.0.0.0/0这样的配置不可取
- .....
阿里云出现networkservice或者sysupdate进程CPU占100%解决方案
- 关闭定时任务防止再出现
crontab -r
- 找到任务路径
# top查看所占资源的PID
> ls -l /proc/你的PID/exe
- 进入到路径
# ls确认是否存在
# kill掉任务
> kill -9 你的PID
- 删除掉所有可执行文件
# 一般病毒文件不让你删除先chattr -i /etc/目录下除了自己设置的可执行文件其他全部同理删除
> chattr -i networkservice
> rm -rf networkservice
# sysupdate
> chattr -i sysupdate
> rm -rf sysupdate
# update.sh
> chattr -i update.sh
> rm -rf update.sh
# config.json
> chattr -i config.json
> rm -rf config.json
- 删除远程登录指纹信息
# 进入/root/.ssh 如果你发现authorized_keys也是777权限说明已被修改
删除
- 如果以上操作还是会有进程终极解决
先删除定时任务这个很重要不然会一直有 crontab -r 如果不能停chattr -i
到/etc/目录下有个update.sh的执行文件先删除掉然后自己创建一个update.sh内容随便写再chattr +i update.sh让他成为不可修改文件 然后在慢慢删除病毒文件