查看所有外部连接
正在连接的,已经关闭连接的
netstat -anp|grep ESTABLISHED
netstat -anp|grep CLOSING
如果发现有连接异常IP找到相关进程
查询进程
通过netstat找到pid,再通过pid找到相关程序
[root@k8s-node002 ~]# ps -ef | grep guest
root 10990 9957 0 15:53 pts/2 00:00:00 grep --color=auto guest
guest 166552 1 0 May13 ? 00:00:00 /bin/bash ./lib.sh
guest 166559 166552 0 May13 ? 00:09:05 /tmp/lib/stak/bash --library-path /tmp/lib/stak /tmp/lib/stak/xmr-stak
[root@devops lib]# kill -9 166552 166559
guest用户
查找所有进程是guest用户启动
查询到登录日志
[root@devops lib]# lastlog | grep guest
guest pts/0 217.28.19.12 Sun May 13 05:34:49 +0800 201
删除定时任务以及用户目录
黑客定时删除相关程序
[root@devops lib]# find / -name guest
/home/guest
/etc/selinux/targeted/active/modules/100/guest
/var/lib/AccountsService/users/guest
/var/spool/mail/guest
/var/spool/cron/guest
观察一下会不会复发
