你的服务器还在裸奔吗?
恶意程序处理方法:
1.使用top命令查看什么进程占用CPU高
2.使用netstat -antlp查看进程及外部访问ip
3找出CPU占用高的进程,查看次ip是否还是使用了数据传输工具
Rsync
4.ls -l /proc/进程号/exe查看病毒包位置
5.删除病毒包rm -rf 文件夹
6.使用top检查CPU是否降下来了
7.使用netstat -antlp查看病毒接入ip是否还在
8.重启虚拟机
9.执行命令crontab -l 查看定时任务
10.清除定时任务 crontab -r
总结:
刚发现这个问题的时候,只看到服务器的CPU异常的高(发烧了),然后上网查了一下,发现服务器中招了。吓的我赶找处理办法,其原理就是通过利用破解密码简单的虚拟机密码,在通过这个虚拟机作为跳板机以相同的方法攻击物理服务器,替换ssh公钥,登录服务器然后安装恶意程序,ls -l /proc/我找到病毒包的位置后打卡一看,一个shell脚本把原来服务器上的业务服务直接kill,然后开展他的业务一个用C写的文件;咱只是个测试也看不懂,也不知道大佬用咱的服务器在干啥。
1、不管是物理服务器还是虚拟机的ssh登录密码都不能过于简单;
2、物理服务器不配置外网DNS;
3、防火墙;
不积跬步,无以至千里;不积小流,无以成江海。