1. 程式人生 > >hadoop yarn漏洞 8088埠進入挖礦病毒處理記錄

hadoop yarn漏洞 8088埠進入挖礦病毒處理記錄

早上發現伺服器cpu使用異常 

程序如圖所示 按照挖礦病毒的套路 肯定是定時任務不停地執行指令碼 遂檢視定時任務  進入/var/spool/cron 檢視定時任務   

發現裡面有一個root檔案  定時任務每分鐘執行一次/root/.tmp00下的指令碼 指令碼是編譯過的  

初步測試 刪除定時任務   刪除之後會馬上生成一個定時任務   所以想辦法刪除執行指令碼 

檔案資訊如下 

 

這幾個檔案刪除後會馬上生成   

目前的解決辦法是 chmod 000 檔案    讓執行檔案不可執行   目前看來挖礦病毒並不會驗證指令碼的許可權  

此時刪除定時任務  發現定時任務不會再次生成   

 

定時任務成功刪除後  將沒有執行許可權的幾個檔案刪除   此時發現並沒有自動生成檔案     

問題解決 。

檔案刪除自動生成可能是因為指令碼檔案都是雙份的原因  刪除一個 另一個馬上自動生成檔案  

雙份的檔案包括  bash bash64 cfg cfgi