TShopping
標題:
CentOS 7 crond64/tsm virus(病毒) 清除
[打印本頁]
作者:
woff
時間:
2020-2-3 20:10
標題:
CentOS 7 crond64/tsm virus(病毒) 清除
最近被電信公司通知,說內部網路可能中毒了
一直攻擊其他網站,找了許久,發現是CENTOS 7 SERVER被值入script
用指令查詢
netstat -tn
複製代碼
及
ps -aux
複製代碼
netstat -tn
發現SERVER 發出對很多網站的PORT 22發動連線
ps -aux 發現對方在SERVER安裝了rsync及 看到了tsm服務
所以不論你刪除多少使用者,對方都能無密碼連入你的SERVER
所以先
移除rsync(我沒用rsync)
yum -y erase rsync
刪除使用者及目錄
檢查crontab
vi /var/spool/cron/user~
發現下面被放排程了
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
複製代碼
刪除/tmp資料夾的檔案
再次查詢
netstat -peanut | grep 22
複製代碼
再也沒看到PORT 22的動作了
參考文章
https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu
https://www.linuxprobe.com/centos7-rsync-server.html
https://help.tableau.com/current/server-linux/en-us/tsm.htm
歡迎光臨 TShopping (http://www.tshopping.com.tw/)
Powered by Discuz! X3.2