记一次服务器挂马处理

最新推荐文章于 2024-03-13 13:28:10 发布
最新推荐文章于 2024-03-13 13:28:10 发布
阅读量957 收藏
点赞数 1
文章标签: 服务器 linux 运维
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/gaojingsong/article/details/125086181
版权

事件发现原因:想使用某个服务,发现服务挂掉了,然后通过其他方式登录到Linux主机,启动服务发现服务启动不了,随后查看crontab列表发现蹊跷,然后逐步处理

定时任务列表

@daily /var/tmp/.../.logs/1
@reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
@reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown
@monthly /var/tmp/.../.logs/run  > /dev/null 2>&1 & disown
@monthly /var/tmp/.../.logs/run  > /dev/null 2>&1 & disown

拿着这个去百度一下,发现是挖矿程序

2、第二步骤,保留证据,查看登录日志

[root@localhost ]# last 
root     pts/1        203.168.10.0     Tue May 17 17:36 - 18:06  (00:30)
root     pts/5        203.168.10.0     Tue May 17 17:22 - 18:06  (00:44)
root     pts/4        203.168.10.0     Tue May 17 17:20 - 19:33  (02:12)
root     pts/5        203.168.10.0     Tue May 17 16:05 - 17:11  (01:06)
root     pts/4        203.168.10.0     Tue May 17 16:03 - 16:21  (00:17)
root     pts/3        203.168.10.0     Tue May 17 16:03 - 18:15  (02:11)
root     pts/3        203.168.10.0     Tue May 17 14:29 - 14:58  (00:29)
root     pts/2        203.168.10.0     Tue May 17 14:28 - 17:36  (03:08)
root     pts/1        203.168.10.0     Tue May 17 14:24 - 17:35  (03:11)

发现外地IP登录

查询登录账号,发现root登录 

3.第三步:

1)修改用户密码,以及VNC密码,然后把免密码登录ssh删除掉

2)删除掉/var/tmp/.../.logs/下面的文件

[root@localhost .logs]# rm -rf /var/tmp/.../.logs/1
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../.logs/run
[root@localhost .logs]# rm -rf /var/tmp/.../

3)删除ssh认证失败,我可是Root用户,

通过chatrr 命令常与 lsattr 命令合用处理,解决掉这个问题

4)查看系统用户是否有增加/etc/shadow

5)查看自动启动文件有没有被改动 /etc/rc.local

6)查看命令,有没有被别名化

[root@localhost ~]# cat .bashrc
# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
 

4、重启观察是否还有诡异的进程

 

gaojingsong
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
防火墙之服务器安全检测和防御技术
weixin_53946822的博客
12-01 1309
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫痪。DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
阿里云服务器搭建个人博客教程详解
仿站、源码搭建/迁移技术博客
05-19 1293
如何做一个属于自己的个人博客网站,做个人博客网站的流程是什么?这是很多新手站长会遇到的问题。首先我们得给自己的个人博客网站,定一个位。用来做什么,是建立一个个人博客来写日?写工作笔?还是想营销自己的产品?有了明确的目的后,我们才开始下面的步骤: 一、注册域名 注册地址:https://www.aliyun.com/ 如果你还没领取过阿里云的红包,还可以在上方链接中领取大额红包。 个人博客网站域名注册其实是很讲究的,我觉得重要的一点就是域名要好,比如yfi6.com这个域名,我当初筛选域.
【安全】查杀linux隐藏挖矿病毒rcu_tasked
飞的博客
10-25 2708
这是黑客使用的批量蔓延病毒的工具,通过如下脚本实现。
一次Centos服务器挂马的抓马经历
09-15
主要介绍了一次Centos服务器挂马的抓马经历分享,非常不错,具有参考借鉴价值,需要的朋友参考下
一次 Debian 被黑,清理录,唉
边学边用
01-10 3886
清理被黑的 Debian Linux 中的非法文件
彻底清除Centos xmrig木马(普通用户情况)
桂圆的博客
04-14 1万+
文章目录一、排查:二、解决三、后序 情况: 开发同事报update用户连接不上系统,故此上服务器查看 由于是docker建立的系统没怎么在意安全,密码设置很简单 一、排查: # su - update 发现密码已经错误 # top ![top命令查看](https://img-blog.csdnimg.cn/20210414183615426.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cH
一次服务器挖矿病毒攻击
最新发布
LeKZzz的博客
03-13 395
本文首发于个人博客网站:http://www.blog.lekshome.top/2024/03/08/ji-lu-yi-ci-fu-wu-qi-wa-kuang-bing-du-gong-ji/指令查找到这个进程的PID后我杀死了这个进程,但是由于一段时间后这个进程会重新出现且每次重启后都会出现这个进程,所以这个进程很显然存在一个定时任务定时启动来防止进程被杀死。的进程占用了所有的CPU资源,Opera是一个浏览器的名称,但是我并没有使用过这个浏览器,而且运行用户是。是 cron 的特殊关键字,等同于。
linux 设置/var/tmp/空间
weixin_44946147的博客
06-20 622
linux调整分配/tmp空间大小
一个监控LINUX目录和文件变化的Shell脚本分享
09-15
如果`$TMP_C`非空,表示有文件被修改,此时会更新`$TMP_A`,用当前目录状态覆盖原始状态,以便下一次比较。 最后,脚本会在日志文件末尾添加一条分割线,并删除临时文件`$TMP_B`和`$TMP_C`,以保持磁盘整洁。 这个...
《白帽子讲Web安全 》 随手(一)
ai_64的博客
04-04 2011
第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。 时隔3个月第二次阅读,醍醐灌顶,特别是讲解原理的部分,深入浅出,很好的梳理了各个知识点。 毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。 这本书的地位: 这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早, ...
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2484
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
清理服务器挖矿木马病毒
Hatim98的博客
02-16 3264
假期远程办公,于是把服务器ip映射到了公网。不成想被人植入了挖矿木马病毒,在此录一下这次发现和解决的经历。
rpm -qa|grep nfs >/dev/null 2>&1作用
weixin_30687587的博客
09-03 574
在使用一些shell命令是,经常会用到rpm -qa|grep nfs >/dev/null 2>&1之类的命令,该命令干嘛用的呢? 其实这个命令就是将rpm -qa|grep nfs查询的结果的标准输入和错误输出重定向到/dev/null中,/dev/null代表linux空设备文件,所有往这里面写的内容都丢失掉,意味着执行了/dev/null命令后,标准输出就会...
linux环境下运行脚本时常用>/dev/null 2>&1 &这一串的作用
AlbertS Home of Technology
08-01 4535
>/dev/null 2>&1 & 的作用是将某个程序在后台运行,并将其标准输出和标准错误输出都丢弃,不在终端中显示或录。这样做常常用于运行不需要显示输出的程序或脚本,并且让它在后台运行,不占用终端的输入输出...
Linux日志null,详细理解“>/dev/null 2>&1”
weixin_39710660的博客
05-05 1506
Linux系统中无论是crontab里面,还是平时使用的命令,经常会碰到">/dev/null 2>&1"。比如说:在Crontab Job里面,如果不想发送邮件,那么有两种方法:一、是将MAILTO="", 设置为空[root@host etc]# cat crontabSHELL=/bin/bashPATH=/sbin:/bin:/usr/sbin:/usr/binMAIL...
linux mysql 挂马_解决数据库被挂马最快方法
weixin_36372014的博客
02-01 308
如果你的数据库中被写入了 类似的木马,您可以采用这个方法快速的删除木马!新建存储过程,然后允许就可以了Create PROCEDURE dbo.ss ASdeclare @t varchar(555),@c varchar(555) ,@inScript varchar(8000)set @inScript=''declare table_cursor cursor for select a.na...
kswapd CPU占用率过高
weixin_45546960的博客
04-19 4710
kswapd0 CPU占用率过高问题 解决方法: top P #直接输入大写p #查看排在第一位的kswapd进程 cd /proc/进程id ls -l exe #查看软链真实目录 cd /var/tmp/..../.nva/ #进入软链真实目录 rm -rf * #删除软链目录下所有文件 kill -9 进程id kswapd是linux中用于页面回收的内核线程。页面回收,并不是回收得越多越好,而是力求达到一种balanced。因为页面回收总是以cache丢弃、内存swap、等为代价的,对系统
Linux下“ >/dev/null 2>&1 “相关知识说明
热门推荐
sunrier的专栏
07-20 4万+
在学习Linux的过程中,常会看到一些终端命令或者程序中有">/dev/null 2>&1 "出现,由于已经遇到了好几次了,为了理解清楚,不妨花点时间百度或者google一下相关的知识。 0:表示键盘输入(stdin) 1:表示标准输出(stdout),系统默认是1 2:表示错误输出(stderr) command >/dev/null 2>&1 & == command
linux服务器被挂码--kdevtmpfsi,kinsing,笨办法解决
zhoufenguang的博客
08-13 1007
服务器cpu突然被占满,进程中包含kdevtmpfsi,或者kinsing,那么应该是被挂码了,网传是一种挖矿病毒;试过网上几种办法都没有彻底杀掉,只好使用一个笨办法了; killking.sh #!/bin/bash function kmpro() { pids=$(ps aux | grep -w $1 | grep -v grep | awk '{print $2}') for pid in $pids do kill 9 $pid >/dev/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaojingsong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值