hadoop yarn漏洞 8088端口进入挖矿病毒处理记录
早上发现服务器cpu使用异常 bash
进程如图所示 按照挖矿病毒的套路 确定是定时任务不停地执行脚本 遂查看定时任务 进入/var/spool/cron 查看定时任务 服务器
发现里面有一个root文件 定时任务每分钟执行一次/root/.tmp00下的脚本 脚本是编译过的 测试
初步测试 删除定时任务 删除以后会立刻生成一个定时任务 因此想办法删除执行脚本 3d
文件信息以下 blog
这几个文件删除后会立刻生成 进程
目前的解决办法是 chmod 000 文件 让执行文件不可执行 目前看来挖矿病毒并不会验证脚本的权限 编译
此时删除定时任务 发现定时任务不会再次生成 定时任务
定时任务成功删除后 将没有执行权限的几个文件删除 此时发现并无自动生成文件 权限
问题解决 。im
文件删除自动生成多是由于脚本文件都是双份的缘由 删除一个 另外一个立刻自动生成文件
双份的文件包括 bash bash64 cfg cfgi
相关文章
- 1. 记录kdevtmpfsi挖矿病毒处理记录和方法
- 2. 处理kdevtmpfsi挖矿病毒
- 3. 记一次挖矿病毒的处理
- 4. Powershell 挖矿病毒处理与防范
- 5. 挖矿病毒清理
- 6. miner2 挖矿病毒
- 7. 挖矿病毒
- 8. 记一次挖矿病毒处置
- 9. Yarn遭到挖矿病毒攻击
- 10. 挖矿病毒清除记录
- 更多相关文章...
- • WSDL 端口 - WSDL 教程
- • ADO 添加记录 - ADO 教程
- • Java Agent入门实战(三)-JVM Attach原理与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 记录kdevtmpfsi挖矿病毒处理记录和方法
- 2. 处理kdevtmpfsi挖矿病毒
- 3. 记一次挖矿病毒的处理
- 4. Powershell 挖矿病毒处理与防范
- 5. 挖矿病毒清理
- 6. miner2 挖矿病毒
- 7. 挖矿病毒
- 8. 记一次挖矿病毒处置
- 9. Yarn遭到挖矿病毒攻击
- 10. 挖矿病毒清除记录