记一次服务器被入侵(木马,挖矿)的排查过程
getaman:
[code=plain]
# 处理 /etc/cron.daily 目录中的 logrotate 文件
remove_and_chattr_file "/etc/cron.daily"
# 处理 /etc/cron.weekly 目录中的 logrotate 文件
remove_and_chattr_file "/etc/cron.weekly"
# 处理 /etc/cron.monthly 目录中的 logrotate 文件
remove_and_chattr_file "/etc/cron.monthly"
# 处理 /etc/cron.yearly 目录中的 logrotate 文件
remove_and_chattr_file "/etc/cron.hourly"
# 删除 /root/.config 目录下的 logrotate 文件
remove_and_chattr "/root/.config/logrotate"
pkill -f logrotate
# 停止 logrotate 服务并删除相关文件
systemctl stop logrotate.service >/dev/null 2>&1
remove_and_chattr "/etc/systemd/system/logrotate.service"
pkill -f logrotate
# 清除所有写入的定时任务
crontab -r
echo "已停止 logrotate 服务并删除相关文件."
[/code]
|