crontab异常任务删除不了,清除挖矿病毒

news2024/12/24 20:34:31

1、事件原因

当天发现服务器访问速度异常缓慢,通过top命令查看系统资源使用情况,发现名为systemd-mont(可能是一个误写或自定义的进程名)的两个异常线程占用了大量的CPU资源,几乎导致CPU满载。

2、查找问题

 为了确定这两个异常线程的来源,使用ps -ef | grep "systemd-mont"命令查找该线程所属的程序。找到后,尝试使用kill命令结束这些线程,并删除相关的执行文件。

3、问题重现 

在删除执行文件后不久,发现systemd-mon线程再次出现,并且之前的systemd-mont文件也恢复了。这表明有某种机制在自动恢复这个文件。

查找自启动服务

因为kill -9杀掉进程之后会立即重启,使用systemctl list-units --type=service 找到自启动服务,禁用后删除。考虑到可能是定时器在执行这个异常程序,使用crontab -l命令查看用户的定时任务列表,果然发现了异常的定时任务。进一步调查后发现,这个定时任务是由一个位于国外服务器的IP地址设置的。

4、解决问题

此时虽然还不能确定这个异常程序是否为挖矿程序,但出于安全考虑,决定先删除这个定时任务。然而,在尝试使用crontab -e编辑定时任务列表时,发现由于文件或目录的扩展权限设置,不允许进行编辑操作。

通过lsattr命令查看/var/spool/cron/root(这里假设是存放root用户cron任务的目录,但通常cron任务存放在/var/spool/cron/crontabs/下)的扩展权限,发现它被设置了a(append only,只允许添加数据)和i(immutable,不允许修改、删除)属性。为了删除这个异常定时任务,首先使用chattr -ai /var/spool/cron/root命令去除这些权限限制,然后编辑并删除异常定时任务。为了服务器的安全,在删除完成后,再次使用chattr +ai /var/spool/cron/root命令为文件或目录加上了权限限制。最后使用last查看最近登陆的异常用户,并对异常用户进行删除。

5、异常程序解析

为了进一步了解这个异常程序的目的,对相关的配置文件(如config.json)进行了解析。通过分析配置文件的内容,发现这些配置是用于设置某个加密货币矿机的参数,这证实了之前的猜测:这个异常程序确实是一个挖矿程序。由于没有找到mon.sh病毒文件猜测是病毒启动后会删除原病毒文件,如果能找到删除掉就好。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1843171.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

椭圆的矩阵表示法

椭圆的矩阵表示法 flyfish 1. 标准几何表示法 标准几何表示法是通过椭圆的几何定义来表示的: x 2 a 2 y 2 b 2 1 \frac{x^2}{a^2} \frac{y^2}{b^2} 1 a2x2​b2y2​1其中, a a a 是椭圆的长半轴长度, b b b 是椭圆的短半轴长度。 2.…

JavaBean与内省,注解的语法及使用

JavaBean Javabean 是 Java 中最重要的一个可重用的组件(减少代码重复,可重用,封装业务逻辑,封装数据).组件:一些符合某种规范的类,可以完成特定的功能. JavaBean 的规范要求: 使用 public 修饰.字段私有化.提供 get/set 方法.公共的无参数的构造器.(使用反射,使用字节码对象.n…

记录一次递归查询导致的 java.lang.StackOverflowError: null

问题截图: 由于作者使用递归统计信息,刚开始这个接口运行得正常,但是上线运行一段时间后接口就出现了,如图的栈溢出错误。可以看出确实是堆栈溢出了,解决栈溢出目前只有两种方式: 第一种调大栈的大小&…

MySQL 离线安装客户端

1. 官方网址下载对应架构的安装包。 比如我的是centOs 7 x64。则需下载如图所示的安装包。 2. 安装 使用如下命令依次安装 devel , client-plugins, client. rpm -ivh mysql-community-*.x86_64.rpm --nodeps --force 在Linux系统中,rpm是一个强大的包管理工具&…

Java面试八股之Mybatis和JPA的区别

Mybatis和JPA的区别 Mybatis 和 JPA(Java Persistence API)是两种在 Java 应用程序中用于数据持久化的框架,它们各有特点和适用场景。下面是它们之间的一些主要区别: 映射方式: Mybatis 是半自动的 ORM 框架&#xf…

移植案例与原理 - HPM包描述文件bundle.json

发现各个子系统、组件、三方库目录下都添加了bundle.json,了解下该文件的用途、用法并快速记录下。 1、HPM Bundle的基本概念 Bundle是OpenHarmony中一个用来表示分发单元的术语,等同于包,一个Bundle中通常包含以下内容: 被分发…

股票核心因子解读以及如何从接口获取股票数据信息

目录 1 股票基础信息1.1 股票核心因子1.2 获取股票信息 2 如何从接口获取股票数据2.1 yfinance2.2 finnhub-python2.3 alpha_vantage2.4 efinance2.4 Tushare 3 如何从各大金融平台获取咨询信息3.1 国外3.2 国内 1 股票基础信息 1.1 股票核心因子 基本面因子 因子名称计算公…

23种设计模式之桥接模式

桥接模式 1、定义 桥接模式:将抽象部分与它的实现部分解耦,使得两者都能独立变化 2、桥接模式结构 Abstraction(抽象类):它是用于定义抽象类的,通常是抽象类而不是接口,其中定义了一个Imple…

基于JSP的高校信息资源共享平台

开头语: 你好呀,我是计算机学长猫哥!如果你对高校信息资源共享平台感兴趣或者有相关需求,可以通过文末的联系方式找到我。 开发语言:Java 数据库:MySQL 技术:JSP技术 工具:IDEA…

2024/6/20 驱动day7GPIO子系统

GPIO子系统点六盏灯 #include <linux/init.h> #include <linux/module.h> #include <linux/of.h> #include <linux/gpio.h> #include <linux/of_gpio.h> struct device_node* node; struct device_node* child_node1; struct device_node* child…

CRMEB多商户阿里云集群部署流程

注意: 1.所有服务创建时地域一定要选择一致,这里我用的是杭州K区 2.文件/图片上传一定要用类似oss的云文件服务, 本文不做演示 一、 创建容器镜像服务&#xff0c;容器镜像服务(aliyun.com) ,个人版本就可以 先创建一个命名空间然后创建一个镜像仓库查看并记录镜像公网地址创建…

基于功率谱密度的旋转机械故障诊断方法(MATLAB R2021b)

关于功率谱密度&#xff0c;可以参考如下文章&#xff1a; https://zhuanlan.zhihu.com/p/417454806 在实际应用中&#xff0c;一个信号我们不可能获得无穷长时间段内的点&#xff0c;对于数字信号&#xff0c;只能通过采样的方式获得N个离散的点。实际信号基本上是随机信号&…

机器学习——RNN、LSTM

RNN 特点&#xff1a;输入层是层层相关联的&#xff0c;输入包括上一个隐藏层的输出h1和外界输入x2&#xff0c;然后融合一个张量&#xff0c;通过全连接得到h2&#xff0c;重复 优点&#xff1a;结构简单&#xff0c;参数总量少&#xff0c;在短序列任务上性能好 缺点&#x…

当游戏遭遇安全问题,我们应该怎么做?

在游戏安全领域&#xff0c;专业性最差、但最常见的案例类型是DDoS攻击&#xff08;分布式拒绝服务攻击&#xff09;。出于它的特性&#xff0c;中小厂商、独立开发者较容易遭受这类攻击。 例如&#xff0c;今年2月29日上线的手游《雷索纳斯》就遭受了名为ACCN组织发起的DDoS攻…

Windows反截屏开发实现

文章目录 Windows反截屏开发实现1. SetWindowDisplayAffinity2. 反截屏系统3. 总结 Windows反截屏开发实现 最近在我们云桌面中需要做到反截屏能力&#xff0c;所谓反截屏就是我们无法通过截图软件&#xff08;微信&#xff0c;QQ&#xff0c;截图等程序&#xff09;截取桌面的…

RTSP/Onvif安防监控平台EasyNVR抓包命令tcpdump使用不了的解决方法

安防视频监控汇聚EasyNVR智能安防视频监控平台&#xff0c;是基于RTSP/Onvif协议的安防视频平台&#xff0c;可支持将接入的视频流进行全平台、全终端分发&#xff0c;分发的视频流包括RTSP、RTMP、HTTP-FLV、WS-FLV、HLS、WebRTC等格式。平台可提供的视频能力包括&#xff1a;…

FLEXPART拉格朗日粒子扩散模式建模技术及研究大气污染物源-汇关系

原文链接&#xff1a;FLEXPART拉格朗日粒子扩散模式建模技术及研究大气污染物源-汇关系 当前&#xff0c;大气污染是我国重要的环境问题之一。为了高效、精准地治理区域大气污染&#xff0c;需要弄清污染物的来源。拉格朗日粒子扩散模式FLEXPART通过计算点、线、面或体积源释放…

RocketMQ快速入门:如何保证消息不丢失|保证消息可靠性(九)

0. 引言 在金融、电商等对数据完整性要求极高的行业&#xff0c;消息的丢失可能会导致数据不一致&#xff0c;严重影响业务逻辑和数据统计&#xff0c;也影响客户体验&#xff0c;所以在很多业务场景下&#xff0c;我们都要求数据不能丢失。而rocketmq中&#xff0c;如何对消息…

jar包运行脚本

start&#xff1a; # 启动项目 #!/bin/bash nohup java -jar audit-2.1.0.jar > app.log 2>&1 & quit&#xff1a; # 关闭程序 #!/bin/bash PID$(pgrep -f audit-2.1.0.jar) # 根据应用程序名称查找进程ID kill -9 $PID # 结束进程使用 sh命令运行