Nginx异常关闭之中了挖矿病毒kswapd0

问题描述:系统突然无法访问了,登录服务器看了一下是因为Nginx服务关闭,重启后过了几天仍然异常关闭

系统:CentOS 7,Nginx 1.20

尝试解决过程:1、查询nginx/logs/error.log、系统日志,都没有查到错误;2、更换Nginx版本;3、加入每天自动重启Nginx任务脚本;4、加入每半小时获取Nginx状态并重启定时任务脚本。隔几天还是出现异常关闭

困扰了接近一个月,偶然查询全部定时任务时发现: 5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1,很陌生的一个定时任务,确定自己及其他人没有加过,查询了一下资料是“挖矿病毒kswapd0”相关任务,赶紧查了一下服务器其它信息,确实中招了

  •  执行查找命令:netstat -antlp | grep kswapd0

查询了一下ip:179.43.139.84,国外的。杀掉进程 kill -9 26233

  • 执行查找命令 find / -name kswapd0
/proc/3316/.X2c4-unix/.rsync/a/kswapd0
/root/.configrc5/a/kswapd0
/tmp/.X2c4-unix/.rsync/a/kswapd0

用 rm -rf 命令逐条删除,rm -rf /root/.configrc5/*,或者rm -rf /root/.configrc5/a/kswapd0。

  • crontab -l 列出当前用户自己的 cron 任务
5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X2c4-unix/.rsync/c/aptitude>/dev/null 2>&1

删除某一个定时任务: 进入编辑模式:crontab -e 按【i】进入编辑:删除对应定时任务,:wq保存退出;也可以用crontab -r完全清空crontab来删除所有定时任务(慎用)。

  • 修改root密码sudo passwd root

经过以上操作,Nginx重启后暂时没有再出现异常关闭了,over。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunyanchun

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值