因为项目需求我在自己的服务器上把docker的远程服务给打开了,同样的暴露了相应的端口。很快,上午操作完,中午休息的时间腾讯云给我发来一条短信
image.png
当时没怎么注意,直到下午的时候发现服务提供的服务可卡,这时我才下想起来这个邮件,立马登录腾讯云控制台检查了一下,直接检测出两个挖矿木马,由于我的服务器上有着自己的个人博客及一些服务,不想直接重置服务器。
尝试着手动清除.....
第一步查看.ssh文件,果真里面有刚多出来的两个ssh文件,于是直接删除这个文件夹期间,报错拒绝访问,使用Cacls attrib等命令折腾一番文件权限,发现不行。如果文件属性中有i与a,或者其中一个,使用chattr命令去掉(删除不可以使用直接卸载的话重新安装)
第二步:杀掉木马进程
过了一阵发现它又自动重启了。百度发现可以存在定时任务。
crontab -l 查看定时任务
crontab -r 删除所有定时任务
这一步直接使用rm -f或者corntab -r可能显示:cannot remove ‘root’: Permission denied
首先使用chattr -ia filename命令将文件的权限去掉;
直接使用chmod 777 filename,修改完毕后已经得到了权限。
终于不再作妖了,我以为可以放心的玩耍了。
可是到了凌晨一点多,腾讯云又有一件邮件发过来...
image.png
意识到情况不对,立马在控制台上关闭了服务器。
第二天,开机,重新查看。发现docker中多了一个正在启动不知名的容器。直接停止,删除容器。后面过了一阵时间,又自动换名称部署重启。
没办法,太业余了,百度了好多,都没能干掉它。只好先把自己的数据库和项目给备份,然后重置服务器了。。
网友评论