版权声明:本文未经允许谢绝转载,如果允许转载情况下,请注明出处及本文地址 https://blog.csdn.net/m0_37268841/article/details/87862465
2月21号安全事件:
ssh到这台机器上面后查看进程发现:
看了一下用户名:jenkins,之前整的几个挖矿程序也是这个用户名下的,然后看了一下进程情况:
1. ps -ef | grep jenkins
watchdogs & ksoftirqds这两个进程都在这个用户下。
2. ps -aux | grep jenkins
尽然还有一个外链的问题,而且还看到了一个熟悉的网址:https://pastebin.com/raw
这已经不止一次在挖矿处理的时候看到这个网址了,有台机器被bitcoin挖矿的问题也涉及到了这个网址:
深度研究查看:
查看重启项涉及的文件 etc/crontab,/etc/ssh/sshd_config,/var/spool/cron/crontabs/jenkins等目录,发现/var/spool/cron/crontabs/jenkins自启动项如下: