shanghj
2020-04-18 09:23:52 +08:00
可能楼主已经解决了,我写一下我的解决方案吧。
1 )先用 top 或 htop 命令查看异常进程的 PID 、用户( USER )、执行文件( FILE )。
2 ) kill -9 PID (强制停止异常进程),sudo rm -rf FILE (删除异常进程的执行文件)
3 ) crontab -l (查看定时任务,解决自动恢复,不过一般定时任务没问题, 编辑定时任务用 crontab -e)
4 ) su root ; passwd -l USER (切换 root,并锁定异常账户登录,恢复登录用 pass -u USER)
下面的是重点,用来处理复现问题。
5 ) cd /var/spool/cron/ && ll (进入定时任务目录,查看上面 USER 的定时任务,如果确定不是自己创建的,用 rm -rf 命令删除,并排查一下其他用户的定时任务(尤其是 root ))
6 ) cd /etc/cron.d/ && ll (用 cat 查看这里的定时任务文件或脚本,找到自动恢复病毒的文件,直接 rm 删除)
这里说一下,1:尽量不要用一键脚本,或者用前先读一遍,防止中招(感觉要是会,谁还用一键脚本?所以,建议不用) 2:对于宝塔一键面板,谨慎使用,尤其是第三方个人开发的免费插件(我在第三方插件中发现过挖矿脚本) 3:不必要的端口尽量不要开,避免被扫到。很多时候我们的服务器不做处理,在一些人眼里简直就像裸奔一样。