登录服务器时,ssh提示密码不对,就去控制台检查,查看到虚拟平台中多台服务器提示虚拟机CPU使用告警,占用过高。远程无法登录。
原因分析:所有中毒的均为linux服务器,密码设置过于简单,防火墙关闭的。
解决:
通过控制台进入服务器,有些服务器是之前进入了服务器的,可以进行操作,有些没有,则需要重启进入单用户模式重置密码,进入服务器。
1、检查crontab任务
这里定时任务就出现了端倪,名称叫做dealer,查询资料得知这是病毒。删除该指向的文件。
contab -e删除这条定时任务
2、删除定时任务的执行文件
可以看看这个文件时什么内容。并删除rm -rf /root/.cfg/
3、查看系统服务
进入cd /lib/systemd/system
ll -rt命令以从旧到新排序,可以看到一个myservice服务,这个不是系统的服务文件。
查看这个文件内容,服务指向了/usr/bin下
查看后,这是异常文件,进行删除操作
4、清除病毒服务
systemctl status myservice.service这里病毒还在运行中
systemctl stop myservice.service停止病毒服务
systemctl disable myservice.service去掉病毒自启动
rm -rf /usr/bin/player删除启动文件
rm -rf myservice.service删除启动服务
完成病毒清理,服务器正常。
打开防火墙,修改系统为强密码。