在天翼云使用redis,开启了6379端口,但是当时未对redis设置密码、导致挖矿病毒入侵,如图:
此病毒,执行原理,请参考文章:
https://www.freebuf.com/column/211777.html
病毒脚本参考:
https://www.cnblogs.com/mikeguan/p/11314005.html
解决:
一、此病毒在启动后,会占用主机cpu至99%.
1. 查询病毒路径,lsof -p pid:
2. 清除病毒线程
kill -9 pid
3. 清除病毒程序
rm -rf /tmp/javax/*
二、由于清除后,可由定时任务拉起,比较顽固,在清除进程的同时,要清除定时任务,
详细如下:
1. 如不使用linux定时任务,crontab,可清除
-
rm -rf /etc/cron.d/root
-
rm -rf /var/spool/cron/crontabs
-
rm -rf /etc/crontab
-
关闭自启动:
systemctl disable crond.service
2. 如使用,则针对清除
-
rm -rf /var/spool/cron/crontabs/root
-
rm -rf /var/spool/cron/root
注:遇到删不掉的,执行:
- chattr -i /var/spool/cron/root
- chattr -a /var/spool/cron/root
cat -n /var/log/cron | tail -10
4. 清除成功后
- 请给redis设置密码,
- 配置远程端口安全组
- 修改redis bind ip(建议)