记录一次被植入挖矿病毒crontab无法修改问题

/ 运维 / 没有评论 / 841浏览

/etc/crontab发现使用root权限无法修改,里面被写了挖矿脚本~

然后发现执行chattr -iRa /etc/crontab命令去掉文件的隐藏属性以后,就可以修改了~

chattr +i /etc/crontab,增加隐藏属性后crontab就不能被修改删除了~

还有检查以下路径 /var/spool/cron:用户定义的crontab文件存放目录 /etc/cron.d:存放要执行的crontab文件或脚本 /etc/crontab:系统任务调度的配置文件 /etc/anacrontab:anacron配置文件 /etc/cron.deny:列出不允许使用crontab命令的用户 /etc/cron.daily:每天执行一次的脚本 /etc/cron.hourly:每小时执行一次的脚本 /etc/cron.monthly:每月执行一次的脚本 /etc/cron.weekly:每星期执行一次的脚本