六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法

本文分享了一次服务器遭遇挖矿木马攻击的经历,详细记录了从发现异常CPU占用,到定位并清除木马的过程。作者通过使用top命令发现可疑进程,进一步查明为非法下载的挖矿程序,并采取措施阻止其运行,包括调整文件权限、终止木马进程、清理执行计划及删除恶意文件。此外,还揭示了攻击者通过YARN端口8088渗透的细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

查看进程:top

在这里插入图片描述
发现一个command为java的程序一直在偷吃我的cpu,逗我玩,我的java怎么可能会偷吃,一开始还真以为是java文件

查看进程命令:top c

在这里插入图片描述
一看,是一个在/var/tmp/java下的文件,阿里云的态势检测有一个非法下载异常和一个挖矿木马程序
在这里插入图片描述
11.09分被非法下载下载下来的,11分被执行,短信就过来了,不用看了就这家伙,谁知打开一看,乱码,不慌,先把起权限降为只读。
先把木马进程杀掉和所有执行计划停止掉(或删除掉)
service stop crond 或 crontab -r 删除所有的执行计划
在这里插入图片描述
我一不小心就把执行计划删除掉了,不过删除前我已经把这个计划文件找到了在:/var/spool/cron下,最可恶的是,文件还伪装成我的用户名"ljj",一眼看过去就知道不是我,我们不一样。
打开名为ljj的文件:
在这里插入图片描述
把标准输出流放到回收站中,标准错误流放到标准输出流中,也跟着进了回收站/dev/null,因此没有错误消息显示出来。
顺便回头把/var/tmp下假java文件也删掉。

最后提一下,我是被入侵yarn的端口8088,可以通过相关端口进入管理页面查看发现有一堆正在执行的任务,注意做好相关措施,防止匿名用户登录。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值