本文记录了一次Linux服务器遭受木马病毒入侵的过程,病毒通过6379端口利用Redis服务进行传播。在排查过程中,发现newinit.sh脚本异常,且文件具有特殊权限导致无法删除。通过chattr命令解除文件保护,清理定时任务,最终解决了CPU100%的问题。总结了木马的执行原理,强调了木马防范的重要性。
病毒入侵解决方案
情景
最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.
排查
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.
这个时候就说明木马已经入侵了,不是即时入侵的.
于是自然的使用top,ps,crontab等方案去排查
-
top
从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.
-
ps -aux > /usr/local/ps;vim /usr/local/ps
从进程列表中发现了两个不
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
