首页   注册   登录
 mingxulin 最近的时间轴更新
mingxulin

mingxulin

V2EX 第 110340 号会员,加入于 2015-04-10 22:59:59 +08:00
mingxulin 最近回复了
260 天前
回复了 Guus 创建的主题 PHP 求知! 你认为一年涨薪资几次或多少合理???
我觉得吧 涨一次爽一次 一直涨一直爽
322 天前
回复了 mgso 创建的主题 生活 啊,这口腔溃疡.真的是要人命
之前在台湾买过破嘴膏,睡前涂一下 第二天基本就不痛了
@lifh1221 #8 我整理一下給你
先用 base64 反解出服务器上的脚本,确认一下脚本具体做了那些操作。然后在 hosts 里把脚本中请求的地址全都指向到 127.0.0.1。 把 chattr 命令从 bin 目录移出到其他,我是把 chattr 移动到 root 目录,因为脚本就是通过 chattr 获得修改定时任务的权限。
在通过下面命令清空定时任务,修复权限。
/root/chattr -i /var/spool/cron/root && > /var/spool/cron/root && chmod 000 /var/spool/cron/root && /root/chattr +i /var/spool/cron/root
/root/chattr -i /var/spool/cron/crontabs/root && > /var/spool/cron/crontabs/root && chmod 000 /var/spool/cron/crontabs/root && /root/chattr +i /var/spool/cron/crontabs/root
/root/chattr -i /etc/cron.d/root && > /etc/cron.d/root && chmod 000 /etc/cron.d/root && /root/chattr +i /etc/cron.d/root

然后关注 /var/spool/cron/ /etc/cron.d/等目录 确认一下里面是否有异常文件,我这边是多了一个 tomcat 还有同层的其他文件也被串改。 在 redis 的 src 里也有一个 tomcat 文件。
删除 /etc/init.d/watchdogs

这个时候定时任务和恶意文件都已经删除。但是 cpu 的负载还是很高,我处理的办法是重启系统后内存中的进程也被干掉,回复正常。然后从其他系统拷贝 netstat 命令到被黑服务器即可。

我同事给了我一个方案就是如果你的服务器不能重启,就是通过安装 sysdig 工具追踪恶意进程 ksoftirqds,查到后 kill -9,负载回复正常。如果发现 /etc/ld.so.preload 被串改可以自行通过工具修复
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1017 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 11ms · UTC 18:29 · PVG 02:29 · LAX 10:29 · JFK 13:29
♥ Do have faith in what you're doing.