收到告警信息,有一台服务器被攻击,留下了挖矿程序。清理过程如下:
1、top命令找到可疑程序:
2、找到之后,就把这个程序kill掉了,但是过了一会儿,发现程序又自动起来了
3、怀疑有定时任务,于是查看定时配置,发现了可疑的配置:
4、注释掉定时任务(没有立即删除,先注释掉了)
5、重新杀掉新的libstdc进程
6、查找本地是否存在i.sh和libstdc文件,发现没有i.sh,有libstdc这个文件:
[root@test ~]# find / -name "i.sh"
[root@test ~]# find / -name "libstdc"
/etc/libstdc7、删除/etc/libstdc文件。但是在文件删除时遇到了报错:
[root@test etc]# rm -rf libstdc
rm: cannot remove ‘libstdc’: Operation not permitted查看了libstdc文件的权限,没有发现问题。rm命令也也没有发现被设置了别名。经过网上查询,可能是libstdc文件被设置了隐藏属性:
[root@test etc]# lsattr libstdc
----i--------e-- libstdc去掉隐藏属性,再删除文件就可以了
[root@test etc]# chattr -i libstdc
[root@test etc]# rm -rf libstdc
[root@test etc]#8、检查进程,发现进程没有再起来了。
9、整个开了两个窗口,一个窗口删除进程、文件等操作,一个窗口随时关注程序是否自动起来。