cron命令占用了100% 但是查看crontab -l并没有发现可以占用这么高的程序
通过/var/spool/cron/文件夹的定时任务,找到其隐藏文件,很可能感染了加密矿工。删除这些自启动文件
cd /var/spool/cron
看见了crontabs文件夹进去查看ubuntu发现
crontab -l -u ubuntu
确认是否这个用户清除之
再执行**cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}**查看,已无。
然后kill掉cron进程 占用瞬间就下来了
在找问题时,还发现存在/home/ubuntu/.configrc,查看文件:
删掉
rm -rf /home/ubuntu/.configrc
观察/root/和/home/ubuntu/的隐藏文件目录,暂无异常。
清理 ssh从参考资料知,此攻击是通过弱 ssh 口令登陆系统的,查看2个用户的ssh文件:
rm -rf /home/ubuntu/.ssh/
