TShopping

 找回密碼
 註冊
搜索
查看: 156|回復: 0

[CentOS] CentOS 7 crond64/tsm virus(病毒) 清除

[複製鏈接]
發表於 2020-2-3 20:10:59 | 顯示全部樓層 |閱讀模式
 
Push to Facebook Push to Plurk  
最近被電信公司通知,說內部網路可能中毒了

一直攻擊其他網站,找了許久,發現是CENTOS 7 SERVER被值入script

用指令查詢
  1. netstat -tn
複製代碼

  1. ps -aux
複製代碼
netstat -tn 發現SERVER 發出對很多網站的PORT 22發動連線

ps -aux 發現對方在SERVER安裝了rsync及 看到了tsm服務


所以不論你刪除多少使用者,對方都能無密碼連入你的SERVER


所以先移除rsync(我沒用rsync)


yum -y erase rsync

刪除使用者及目錄
檢查crontab
vi /var/spool/cron/user~
發現下面被放排程了
  1. * */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
  2. @reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
  3. 5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
  4. @reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
  5. #5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
複製代碼

刪除/tmp資料夾的檔案

再次查詢
  1. netstat -peanut | grep 22
複製代碼


再也沒看到PORT 22的動作了

參考文章
https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu
https://www.linuxprobe.com/centos7-rsync-server.html
https://help.tableau.com/current/server-linux/en-us/tsm.htm



 

臉書網友討論
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2020-2-22 05:42 , Processed in 0.054383 second(s), 21 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表