客服说用着网站操作很卡,很不幸,服务器再次中木马了,这次很暴力,CPU直接飚到200%!
初步判断是挖矿木马了,这次有了上次排查的经验后,直接top就看到了进程号
4FA3FD4441F01C5A8E4A2D1FC40C6DAB.jpg
太狠了,占用那么多。
直接kill ,果然死灰复燃,没关系,有了上次的经验这次不怕了。 继续查看启动项没发现什么异常,然后重启试试。 重启后马上就运行了,可启动项没发现问题啊。
我也查看了,定时任务, 没发现什么,难道是姿势不对?
QQ20181102-164343.png
后来无意试了一下 crontab -l
image.png
发现木马是直接从这个定时下载的脚本。
用 crontab -e 进行编辑定时任务后,再kill掉进程,删除对应文件。
一切正常了。
注意:
1、一定要修改ssh默认端口号
2、密码一定要够复杂
网友评论