植入挖矿程序处理 - 安全相关

#查看文件是否锁
	lsattr <文件名称> 
![](/media//202109/2021-09-03173514582748.png)
####有i或a就是锁定状态
|参数|说明|
|--|--
|+|在原有参数设定基础上追加参数
|-|在原有参数设定基础上移除参数
|=|更新为指定参数
|a|即append，设定该参数后，只能向文件中添加数据，而不能删除。常用于服务器日志文件安全，只有root用户才能设置这个属性
|i|即immutable，设定文件不能被修改，删除，重命名，设定链接等，同时不能写入或新增内容。这个参数对于文件系统的安全设置有很大帮助
|c|即compress,设定文件是否压缩后再存储，读取时需要经过自动解压操作
|s|安全地删除文件或目录，即文件被删除后硬盘空间被全部收回

---
#解锁文件
	chattr -ai <文件名称>

---
#1、top，查看是否有异常进程
---
#2、停止crond
	systemctl status crond
	systemctl stop crond
---
#3、查看定时任务目录
	cd /etc/cron.d

![](/media//202109/2021-09-03174028129955.png)

####pwnrig文件内容：
![](/media//202109/2021-09-03174206660644.png)
####删除文件中的文件
	rm -f /bin/crondr		#如果被锁，先解锁
	rm -f /bin/dbused		#如果被锁，先解锁

---
####root文件内容：
![](/media//202109/2021-09-03174116221305.png)
	#把除了0hourly之外的东西都删掉
---
#4、按照上面方法，查看其余定时任务目录
	cd /var/spool/cron/
	rm -rf /var/spool/cron/*
####正常只有root自己编辑的内容：crontab -l

---
	cd /etc/cron.daily
####正常：
	
![](/media//202109/2021-09-03175453003990.png)

---
	cd /etc/cron.hourly
####正常：
![](/media//202109/2021-09-03175551739008.png)

---
	cd /etc/cron.monthly
####正常无东西

---
	cd /etc/cron.weekly
####正常无东西

---
#5、查看用户隐藏目录
	ls -la

![](/media//202109/2021-09-03180806989515.png)

chattr -ia .bash_profile
	把那行删掉

![](/media//202109/2021-09-03180657520433.png)

chattr -ia /bin/bprofr
	rm -f /bin/bprofr
	
---
#6、查看 /etc/init.d/
	cd /etc/init.d/
	
	#删除
	chattr -ia /bin/initdr
	rm -f /bin/initdr
---
#7、查看用户和组
	cat /etc/passwd
	cat /etc/group
---
#8、egrp关键字
	egrep -R dbused /etc
	egrep -R dbused /usr
	
	#删除出现的文件，及相关文件

---
#6、查看ps -ef ，删除异常进程
	ps -ef | grep dbused | awk '{print $2}' | xargs kill -9
	ps -ef | grep "/usr/sbin/CROND" | awk '{print $2}' | xargs kill -9
	ps -ef | grep xms | awk '{print $2}' | xargs kill -9

---
#7、观察无误后，重启crond
	systemctl start crond
	
---
#8、安全加固
	echo -n 'lock' > /bin/dbused
	chattr +i /bin/dbused
	echo -n 'lock' > /tmp/dbused
	chattr +i /tmp/dbused