最近被国外的挖矿木马攻破了服务器
根据非法登录,用
#last指令查看登录ip
首先删掉登录主机
#kill -9 pts/0
第二步
#top 看看什么占用cpu高
第三步杀死狂刷CPU的服务
过一分钟后,服务又开始狂刷cpu。
第四步根据pid查到服务地址
#systemctl status 6058 # 6058为病毒的PID
找到路径
[root@main-nginx .cache]# pwd
/var/tmp/.cache
[root@main-nginx .cache]#
然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!
