本文介绍了一套清理服务器木马的方法,包括检查与清理计划任务、密钥认证文件、SSH配置项,以及开机启动脚本等内容。
1. 查看计划任务
ls /var/spool/cron
删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可:
rm -rf /var/spool/cron/*
2. 查看密钥认证文件
删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录:
rm -rf /root/.ssh/*
如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。
3. 修复 SSH 配置项
一般默认脚本中进行修改的 PermitRootLogin、RSAAuthentication、PubkeyAuthentication 为开启状态,需要修改的是密钥认证文件名,建议修改成默认值 AuthorizedKeysFile .ssh/authorized_keys 即可。修改完成后重启 sshd 服务,使配置生效即可。
4. 查看开机启动脚本
执行 systemctl list-unit-files 发现可疑程序:
进入 /etc/systemd/system/ 目录找到并查看该脚本
该脚本执行了 /xm 脚本,并且总是会重启服务。如果此程序不进行清除,即使杀死了对应的进程,过一会还是会执行重新创建,又导致服务器异常。
因此,先停止启动脚本配置项:
systemctl disable name.service
删除脚本:
rm -rf /etc/systemd/system/xm.service
5,启动脚本删除完后,删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs
kill 9 pid
扫一扫
6579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
