CentOS 7 crond64/tsm virus(病毒) 清除

woff

最近被電信公司通知，說內部網路可能中毒了

一直攻擊其他網站，找了許久，發現是CENTOS 7 SERVER被值入script

用指令查詢

1. netstat -tn

複製代碼

及

1. ps -aux

複製代碼

netstat -tn 發現SERVER 發出對很多網站的PORT 22發動連線

ps -aux 發現對方在SERVER安裝了rsync及 看到了tsm服務


所以不論你刪除多少使用者，對方都能無密碼連入你的SERVER


所以先移除rsync(我沒用rsync)

yum -y erase rsync

刪除使用者及目錄
檢查crontabvi /var/spool/cron/user~
發現下面被放排程了

1. * */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
   
2. @reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
   
3. 5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
   
4. @reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
   
5. #5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

複製代碼

刪除/tmp資料夾的檔案

再次查詢

1. netstat -peanut | grep 22

複製代碼

再也沒看到PORT 22的動作了

參考文章
https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu
https://www.linuxprobe.com/centos7-rsync-server.html
https://help.tableau.com/current/server-linux/en-us/tsm.htm