【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 
早上发现服务器cpu使用异常
进程如图所示 按照挖矿病毒的套路 肯定是定时任务不停地执行脚本 遂查看定时任务 进入/var/spool/cron 查看定时任务
发现里面有一个root文件 定时任务每分钟执行一次/root/.tmp00下的脚本 脚本是编译过的
初步测试 删除定时任务 删除之后会马上生成一个定时任务 所以想办法删除执行脚本
文件信息如下
这几个文件删除后会马上生成
目前的解决办法是 chmod 000 文件 让执行文件不可执行 目前看来挖矿病毒并不会验证脚本的权限
此时删除定时任务 发现定时任务不会再次生成
定时任务成功删除后 将没有执行权限的几个文件删除 此时发现并没有自动生成文件
问题解决 。
文件删除自动生成可能是因为脚本文件都是双份的原因 删除一个 另一个马上自动生成文件
双份的文件包括 bash bash64 cfg cfgi
来源:oschina
链接:https://my.oschina.net/u/3618851/blog/3076165