当前位置:   article > 正文

@monthly /root/.cfg/./dealer病毒清除

@monthly /root/.cfg/./dealer病毒清除

登录服务器时,ssh提示密码不对,就去控制台检查,查看到虚拟平台中多台服务器提示虚拟机CPU使用告警,占用过高。远程无法登录。

原因分析:所有中毒的均为linux服务器,密码设置过于简单,防火墙关闭的。

 解决:

通过控制台进入服务器,有些服务器是之前进入了服务器的,可以进行操作,有些没有,则需要重启进入单用户模式重置密码,进入服务器。

1、检查crontab任务

 这里定时任务就出现了端倪,名称叫做dealer,查询资料得知这是病毒。删除该指向的文件。

contab -e删除这条定时任务

2、删除定时任务的执行文件

可以看看这个文件时什么内容。并删除rm -rf /root/.cfg/

3、查看系统服务

进入cd /lib/systemd/system

ll -rt命令以从旧到新排序,可以看到一个myservice服务,这个不是系统的服务文件。

 查看这个文件内容,服务指向了/usr/bin下

 查看后,这是异常文件,进行删除操作

4、清除病毒服务

systemctl status myservice.service这里病毒还在运行中

systemctl stop myservice.service停止病毒服务

systemctl disable myservice.service去掉病毒自启动

rm -rf /usr/bin/player删除启动文件

rm -rf myservice.service删除启动服务

完成病毒清理,服务器正常。

打开防火墙,修改系统为强密码。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/720412
推荐阅读
  

闽ICP备14008679号