1.腾讯云提示风险
2.查看查看文件
可以看出该风险文件属于halo用户。
3.查看服务状态
ps -ef |grep halo
4.杀死可疑线程(该线程杀不死)
5.查看是否有可疑 IP 成功登录机器
less /var/log/secure|grep 'Accepted'
- 解决方法: 使用命令
usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户。
6.删除恶意软件
7.查看开机启动项中是否有异常的启动服务
使用chkconfig --list和cat /etc/rc.local命令
8. 进入 cron 文件目录,查看是否存在非法定时任务脚本
- 检查说明:查看
/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。
9.查看服务
systemctl status halo
10、停止服务
systemctl stop halo11、总结
本次病毒排除,只是检测到了风险所在,以及对方是通过halo用户登录服务器并注入病毒,目前删除了恶意文件,禁用了halo用户访问服务器权限,是否有其他风险未知,因此先暂停服务,继续排查其他存在的风险。
主要原因应该是halo帐户使用了 弱口令,密码123456过于简单化。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
