原因:我的机器感染了redis挖矿蠕虫
下面是一些文件/root/.ssh(它是隐藏的,使用ls -la我可以看到它),我删除了它们和其他一些相关文件,希望它不会再次出现。
这次给我一个教训,下次一定要给redis设置访问密码,并且修改默认端口。
我试图在root用户下设置我的工作,当我运行crontab -e,输入:wq而不编辑任何内容时,我收到以下错误消息:
/var/spool/cron/#tmp.VM_0_2_centos.XXXXDJlSfY: Permission denied.
当我chmoddir时/var/spool/cron/,我收到Operation not permitted错误:
列出 的属性/var/spool/cron,它是不可变的。
当我用来chattr更改它时,没有错误,但也没有任何更改!
我重新安装了cronie,它不起作用。现在这让我发疯,我不知道还能做什么来解决它。有人可以帮我吗?
答案1
正如评论中已经提到的:在恶意软件感染后,系统应该始终重新完全设置。这意味着:全新的操作系统安装。
在您的情况下,这是最坏的情况:更改immutable标志需要root权限(或接近的权限),并且具有root访问权限的攻击者可以对您的系统执行任何操作,包括安装rootkit或将二进制文件chattr与修改后的版本交换。搜索所有修改通常太困难、太费力。
无论如何,Redis 不应该运行root。