hadoop yarn漏洞 8088埠進入挖礦病毒處理記錄
阿新 • • 發佈:2019-08-21
早上發現伺服器cpu使用異常
程序如圖所示 按照挖礦病毒的套路 肯定是定時任務不停地執行指令碼 遂檢視定時任務 進入/var/spool/cron 檢視定時任務
發現裡面有一個root檔案 定時任務每分鐘執行一次/root/.tmp00下的指令碼 指令碼是編譯過的
初步測試 刪除定時任務 刪除之後會馬上生成一個定時任務 所以想辦法刪除執行指令碼
檔案資訊如下
這幾個檔案刪除後會馬上生成
目前的解決辦法是 chmod 000 檔案 讓執行檔案不可執行 目前看來挖礦病毒並不會驗證指令碼的許可權
此時刪除定時任務 發現定時任務不會再次生成
定時任務成功刪除後 將沒有執行許可權的幾個檔案刪除 此時發現並沒有自動生成檔案
問題解決 。
檔案刪除自動生成可能是因為指令碼檔案都是雙份的原因 刪除一個 另一個馬上自動生成檔案
雙份的檔案包括 bash bash64 cfg cfgi