查看指定日志修改過的文件:
[root@iZbp12v0moqn078lm0t0l5Z 2018-04-26]# find /data/www/manage -ctime 0 -exec ls -lg {} \; |grep 'Apr 26'
查看一天內修改過的文件:find / -ctime 0
查找/home路徑內最近1天被修改過的塊普通文件:
find /home -mtime 0 -type f
查找當前目錄下,最近24-48小時修改過的普通文件,並顯示詳細信息
find . -mtime 0 -type f -ls
find /home -mtime 0 -type f
查找當前目錄下,最近24-48小時修改過的普通文件,並顯示詳細信息
find . -mtime 0 -type f -ls
挖礦程序清理:
1,top查看當前進程:
pkill wipefs
pkill wipefs
2,刪除crontab下得計划任務
vim /var/spool/cron文件中得任務
vim .viminfo 查看操作記錄
查找當前修改文件記錄:find /home -ctime 0
vim /var/spool/cron文件中得任務
vim .viminfo 查看操作記錄
查找當前修改文件記錄:find /home -ctime 0
wipefs是linux自帶的程序,用來擦除文件系統數據,也就是下面那個人回答的。正常的wipefs,路徑在/usr/bin/wipefs,如果你沒有做設置,不會自啟動,也不會大量占用cpu。你可以看一下是否是 /bin/wipefs 進程,如果是,應該是你的機器被黑了,這是別人在你機器上放了挖礦程序。
此程序會:
1.進行挖礦計算,大量占用cpu。
2.復制自己到/bin/wipefs,創建服務/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中創建鏈接以實現開機啟動。
3.釋放子程序到 /bin/ddus-uidgen,創建服務/etc/init.d/acpidtd,並在 /etc/rc.d 和 /etc/rc.d/rc.d 中創建鏈接以實現開機啟動。
4.修改/etc/resolv.conf, 可能是為其連接礦機服務的域名做服務。
5.修改/etc/crontab, 為自己創建定時任務,每天12點與0點開始執行。(所以你會發現第二天又啟動了)
你需要做的:
1.刪除 /etc/crontab 中的定時任務。
2.刪除以下文件:
檢查機器漏洞,ssh權限,防火牆等,避免機器再次被攻擊。
此程序會:
1.進行挖礦計算,大量占用cpu。
2.復制自己到/bin/wipefs,創建服務/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中創建鏈接以實現開機啟動。
3.釋放子程序到 /bin/ddus-uidgen,創建服務/etc/init.d/acpidtd,並在 /etc/rc.d 和 /etc/rc.d/rc.d 中創建鏈接以實現開機啟動。
4.修改/etc/resolv.conf, 可能是為其連接礦機服務的域名做服務。
5.修改/etc/crontab, 為自己創建定時任務,每天12點與0點開始執行。(所以你會發現第二天又啟動了)
你需要做的:
1.刪除 /etc/crontab 中的定時任務。
2.刪除以下文件:
/bin/wipefs
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/S01wipefs
/etc/rc1.d/S01wipefs
/etc/rc2.d/S01wipefs
/etc/rc3.d/S01wipefs
/etc/rc4.d/S01wipefs
/etc/rc5.d/S01wipefs
/etc/rc6.d/S01wipefs
/etc/rc.d/rc0.d/S01wipefs
/etc/rc.d/rc1.d/S01wipefs
/etc/rc.d/rc2.d/S01wipefs
/etc/rc.d/rc3.d/S01wipefs
/etc/rc.d/rc4.d/S01wipefs
/etc/rc.d/rc5.d/S01wipefs
/etc/rc.d/rc6.d/S01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/S01wipefs
/etc/rc1.d/S01wipefs
/etc/rc2.d/S01wipefs
/etc/rc3.d/S01wipefs
/etc/rc4.d/S01wipefs
/etc/rc5.d/S01wipefs
/etc/rc6.d/S01wipefs
/etc/rc.d/rc0.d/S01wipefs
/etc/rc.d/rc1.d/S01wipefs
/etc/rc.d/rc2.d/S01wipefs
/etc/rc.d/rc3.d/S01wipefs
/etc/rc.d/rc4.d/S01wipefs
/etc/rc.d/rc5.d/S01wipefs
/etc/rc.d/rc6.d/S01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd
檢查機器漏洞,ssh權限,防火牆等,避免機器再次被攻擊。
以上是網友提供的方法,以下是個人處理過程:
1,使用find指令
#查找系統中被設置了setuid的文件:
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;`
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;`
#查看擁有指定權限文件:
find / -type f -perm 700 |xargs ls -al
find / -type f -perm 700 |xargs ls -al
#查看包含特殊內容的文件:
find / -mount -type f -exec sh -c 'grep -q "\.minexmr\.\|wipefs" "{}"' \; -print ; find /tmp -mount -type f -exec sh -c 'grep -q "\.minexmr\.\|wipefs" "{}"' \; -print ;
find /opt -mount -type f -exec sh -c 'grep -q "\.xyz\.\|wipefs" "{}"' \; -print;
對文件包含wipefs字段的文件酌情刪除。
2,通過查看tomcat的相關日志,發現tomcat存在遠程執行代碼漏洞,通過升級tomcat此次問題已經解決。
參考資料:
https://blog.csdn.net/Xing6Kai/article/details/78790403
https://blog.csdn.net/b376924098/article/details/78233108