早上到办公室后,第一动作就是检查昨天的查杀是否有效果,通过top命令,发现有个叫xiao的进程 竟然cpu使用率高达300%多,太恐怖,赶紧定
位了所在可执行的文件,发现还是在tomcat bin目录下,然后赶紧kill掉这个异常进程,启用clamav进行扫描,扫描后并没有发现有木马进程,于是就
只管tomcat bin目录下的文件了,发现多了2个这样的文件 xiao 以及 mywin这个文件 其中mywin这个文件我打开查看了下:
竟然是一个sh脚本,而且第一个上来就是修改权限,然后关闭linux的防火墙。。。。。然后一直在wget这个xiao文件到这个目录下来,太恐怖
了。马上就删除了,再检查了一遍,到目前下午15点30分为止,还是比较正常的,那个文件是昨晚21点左右生成的,我怀疑是不是tomcat出bug
了?按理说不应该,新建的文件都是root组和用户,没办法只能把root用户都改了,把ftp全关闭,坐等监控。
网友评论