处理kworkerds挖矿木马
发现香港服务器被人非法上传了一个文件,服务器特别卡cpu爆满,使用top-c命令查看资源使用情况。发现一个kworkerds进程占用90%以上,kill掉进程也会自动重启。并且发现/var/tmp目
发现香港服务器被人非法上传了一个文件,服务器特别卡cpu爆满,使用top -c命令查看资源使用情况。发现一个kworkerds进程占用90%以上,kill掉进程也会自动重启。并且发现/var/tmp目录被上传了个kworkerds文件删除掉也会自动重新上传,网上搜索一下,发现是挖矿木马
查找了一些资料,已下是处理方法
crontab -l查看是否被人恶意添加了定时任务。查看/var/spool/cron目录下发现有挖矿定时任务。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名。从top结果可以看到kworkerds这个进程是使用www用户启动的,所以查看了/var/spool/cron/www这个文件
解决办法:删除定时任务,kill掉kworkerds进程、删除/var/tmp下的文件
未解决问题:还未找到对方是怎么上传的木马
相关文章
- okhttp、okhttp3使用post方式发送form-data数据
- JAVA字符串逗号分隔并对每个字符串添加引号
- [Docker系列] Install BaoTa with Docker
- [信创系列]银河麒麟安装nodejs18和npm2,并启动对应工程
- EasyExcel导出Excel并合并单元格
- Python3安装pip及pip安装whl包
- [Ubuntu系列]Ubuntu 安装 Harbor
- [Ubuntu系列]Ubuntu 安装 docker 及修改 docker 存储位置
- [Centos系列]CentOS 修改 DNS
- [Centos系列]source /etc/profile 无法永久生效问题
发表评论
评论列表
- 这篇文章还没有收到评论,赶紧来抢沙发吧~