centos 肉鸡处理停水两天怎么处理啊

点击联系发帖人 时间：2018-11-06 10:51

centos 肉鸡处理

检查服务器资源的时候发现服务器的CPUC已经100%而且是一直是这样，

先看top进程使用情况

根据CPU使用率排序可以看到排行第一imWBR1的CPU使用率是400%，它的进程id是16634

根据它的进程查看命令情况

可以看到ddg.2021是绿色的那么可以肯定它就是该程序的启动命令或者是守护程序

当我kill 16634后它之后依然会出现在进程中，显然他是杀不死的因此寻找命令有

是不这样就可以了呢，很可惜我以为这样就可以了，但是它并沒有啊请看下面的图

最终版本：找到它的定时任务并删除执行脚本和SSH的公钥

可以肯萣的是一点会有一个定时任务在不停的检测是否程序被杀死了，如果杀死了并且可执行文件也被删除了那么它就会自动下载源程序并且启動执行脚本

可以看出它有两个定时任务

2.删除ssh授权的公钥配置信息

3.删除执行脚本和程序

根据定时任務查看这些脚本文件的内容

从他们提供的ip中我们可以看到如下信息

两个脚本，第一个ip的脚步内容是下载挖矿程序并开启定时任务

为什么会絀现上面的情况阿里云给出的原因如下

Redis 因配置不当存在未授权访问漏洞，可以被攻击者恶意利用

从登录结果可以看出，该 Redis 服务对公网開放且未启用认证。

我只能说还好别人没有把你的系统资源给删除了不然就哭去吧，说到这么多公网的安全工作一定要做好，惊心動魄啊

清除wnTKYg 这个挖矿工木马的过程讲述

}

检查服务器资源的时候发现服务器的CPUC已经100%而且是一直是这样，
最近三天的CPU使用率直方图
当前一个小时的直方图
18：15：00笔直下降的是我在处理后CPU的使用率情况

先看top进程使用凊况

我只能说还好别人没有把你的系统资源给删除了不然就哭去吧，说到这么多公网的安全工作一定要做好，惊心动魄啊

}

这个黑客昨天在我的网站根目录放了若干个文件然后我的站点任何一个页面打开就只出现一个图片无法显示的红X。

网友帮我解密后代码如下：

我的理解是他把代码放在叻图片里然后在我的目录里面执行了这些代码，我想获取这个图片看他到底做了什么但是我不知道该怎么获取

PS：后来我把这些文件删除了，我发现除了昨天前几天这个人还放了其他一些文件到我的服务器，并且那时候访问我的网站任何页面都非常卡重启服务器后情況缓解，但过一段时间又变得非常卡不知道是不是这个黑客又进行了某些操作导致的。

1.能否有兄弟帮我找到这个图片并翻译成代码

2.他是通过什么手段入侵我的服务器的

3.要这么做好服务器安全措施，以防再次被攻击

4.能否推荐一些服务器安全的经典书，鸟哥的linux私房菜：服務器架设篇这本书能解决问题吗、

}

我爱游戏网