被动抓病毒的日子(4)【入侵大佬:fucked.kozow.com】终于抓到一个挖矿的了,在下的CPU跑得贼欢快! (*^▽^*)

最新推荐文章于 2024-04-28 13:16:41 发布
VIP文章 最新推荐文章于 2024-04-28 13:16:41 发布
阅读量786 收藏
点赞数
分类专栏: 被动抓病毒的日子 文章标签: linux 运维 nginx 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37960324/article/details/118806036
版权

月常抓病毒水文

 自从上次被入侵后,在服务器上做了些防护,比如把他们喜欢用的curl、wget啊,偷偷换了个名称

 是的,就是上次那台被入侵的服务器,扛上了,绝不妥协!

 这次,入侵大佬清空了我的nginx日志、zabbix日志、系统日志、定时任务、history记录等。抓到进程 “idle

最低0.47元/天 解锁文章
谦杯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
docker中病毒“kirito666(这是一篇不能解决实际问题的记录,介意勿看)
ultingCSDN的博客
06-07 678
docker中病毒“kirito666” 问题发现: 阿里云发送短信:“尊敬的 XXXX:您的服务器因攻击被限制访问部分目的端口,详情信息请查看xxxx” 登录阿里云控制台可以看到CPU使用率达到99%,并且无法远程登录服务器。 并且在阿里云的安全告警处理器中可发现如下信息 处理流程: 登录阿里云,进行强制重启。重启后,就可以通过Xshell/SecureCRT工具远程登录服务器进行排查。 通过执行free -lh 、top、df -lh等命令均为发现异常。然后查看docker容器发现如下信息: 从
Kotlin:支付宝app支付接入,沙箱demo,PHP服务端签名
海西看月亮
01-25 2065
为了给自己小应用加个捐赠。 用了支付宝的接口。 本篇是算是自己总结吧,一路坎坷。 一个demo图(在服务器签的)   应用采用的是Kotlin开发的,为了测试支付宝的接口,就用了一个demo测试。本篇都是这个demo为基础。(kt版demo)   完全兼容支付宝的SDK,此处用得是新版的SDK,AAR格式   首先下载好SDK的aar文件,放入项目的libs文件夹下。   ...
10185101210_陈俊潼_LAB3_Fucked1
08-03
2. 了解 IP 数据报的组成 3. 了解 IP 各部分的含义 1. 在 Options 选项卡中启用 Resolve network names,并勾选 Wi
PUG-the-js-template-engine:javascript模板引擎:dog_face:
04-16
PUG-js-模板引擎 javascript模板引擎 :dog_face: 文件资料 [pug.org] (http://www.smartredirect.de/redir/clickGate.php?u=IgKHHLBT&m=1&p=8vZ5ugFkSx&t=vHbSdnLT&st=&s=&url=https://pugjs.org/&r=https://www.google.com/search?channel=fs&client=ubuntu&q=pug+js)
is-my-train-fucked:微型应用程序,可回答“您的火车上车了吗?”的问题暗示
05-02
我的火车操了吗? 一个微型的网络应用程序,它回答“您的火车上车了吗?”的问题 提示:可能是。 技术 IMTF用python编写,旨在用作微服务。 用于功能上载,版本管理和测试。 数据流 每分钟查询一次MTA信息 一种。 新数据被写入S3以进行记录保存(也许将来会查询Atlas)? b。 新数据将写入index.html文件,并上传到S3托管网站 很简单! “ API” 现在,您可以点击“ API”,以非常糟糕的格式查看最新的火车状态。 我正在努力修复它,请继续关注!
NetBot_Cn_6.9.Fucked_Version
12-10
NetBot_Cn_6.9.Fucked_Version
3D-in3D.zip
09-17
3D-in3D.zip,一个相对简单的go驱动的opengl图形引擎,3D建模使用专门的软件来创建物理对象的数字模型。它是3D计算机图形的一个方面,用于视频游戏,3D打印和VR,以及其他应用程序。
第三方支付:微信公众号接入支付宝支付开发
热门推荐
陈袁的博客
08-15 14万+
第三方支付:微信公众号接入支付宝支付开发 引言 这篇文章使用一些简单的代码例子来解释微信接入支付宝支付功能的操作步骤,即使新手也可以轻松参透的。 第三方支付是指具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,通过与银行支付结算系统接口对接而促成交易双方进行交易的网络支付模式。 使用第三方支付,我们只要申请一个帐号平台即可以支持所以银行卡信用卡支付功能,具体支付功能由第三方支
check_library报错
dinsh3100的专栏
04-10 2460
解决Error: The check_library command failed to run. Check the installation of Library Compiler. (LCSH-3)问题
无意间发现我的一台云服用器中了矿机xmrig的毒,续!!
kevin的博客
06-13 1万+
接上 无意间发现我的一台云服用器中了矿机xmrig的毒,哎!! 上次没根除接着来! 看一下是不是设置了定时任务:这里要注意一下,我一开始 crontab的时候没有指定用户(我是用ubuntu用户登陆的),没有看到这个任务,以为没有问题,不指定用户列出的是当前用户的任务,编辑也是同样如此. 果然,去下载了一脚本执行! 打开看看 就是你了! 这段脚本也比较简单好理解大概意思:清清本地...
Android原生webview打开支付宝
依旧00的专栏
07-30 3万+
最近解决一个问题,后台返回客户单的是一个支付宝的链接,需要客户端这边来打开,返回地址为: https://openapi.alipay.com/gateway.do?app_id=*** 使用webview加载后会重定向到 https://mclient.alipay.com/cashier/mobilepay.htm?alipay_exterface_invoke_assign_target=...
app 模拟器包 burpsuite_浅析src的app漏洞挖掘
weixin_39812186的博客
10-29 291
前言之前自学了安卓的漏洞挖掘知识,还在wsrc、bilisrc、asrc等提交了安卓app方面的安全漏洞,一直没有做笔记,现在就来总结一下学过的部分知识。用burpsuite实现app包点击Proxy——>Options里的add输入模拟器的ip和端口接着就是配置手机端,首先导出Burpsuite的CA证书。点击import/export CA certificate,选择第...
前端canvas合并图片两种实现方式
weixin_34283445的博客
12-26 4万+
---恢复内容开始--- 需求:   有一个固定的背景图,还有一个是随机生成的二维码,合并成一张图,让用户下载。   实现一:纯手写,这里为了省事生成图片我直接给的base64,其实使用qrcode.js生成的也是base64图片;   body: <div align="center" id="imgArr" style="display: none;"> &...
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 582
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 645
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
linux 编译binutil 遇到问题
123
04-26 200
linux 编译binutil
强制删除k8s中的pod
weixin_67727883的博客
04-26 194
强制删除k8s中的pod
linux 关闭不了docker服务
zhangxu1998lq的博客
04-24 607
(如果它当前没有运行)。这就是为什么即使你停止了 Docker 服务,它仍然有可能被通过套接字激活的原因。如果你希望完全确保 Docker 服务不再运行,并且不能被套接字单元自动激活,你需要同时禁用和停止。是一个套接字单元,用于监听 Docker 的 API 请求。当这个套接字接收到请求时,它会激活。在 systemd 系统中,服务和套接字是分开管理的。先停止docker套接字。再停止docker就行了。
Linux 解压报错
傲慢的上校的专栏
04-25 843
linux上面解压压缩包,有可能遇到一下问题,现提供正确语句供参考。
(function () { var magic = boot_fakeobj(boot_addrof(obj) + 16); magic[4] = addrof_slave; magic[5] = (addrof_slave - addrof_slave % 0x100000000) / 0x100000000; obj.buffer = obj_master; magic[4] = addrof_obj_slave; magic[5] = (addrof_obj_slave - addrof_obj_slave % 0x100000000) / 0x100000000; magic = null; })(); //fix fucked objects to stabilize webkit (function () { //fix fontfaceset (memmoved 96 bytes to low, move back) var ffs_addr = read_ptr_at(addrof(post_ffs) + 8) - 208; write_mem(ffs_addr, read_mem(ffs_addr - 96, 208)); //fix strings (restore "valid") header for (var i = 0; i < needfix.length; i++) { var addr = read_ptr_at(addrof(needfix[i]) + 8); write_ptr_at(addr, (HASHMAP_BUCKET - 20) * 0x100000000 + 1); write_ptr_at(addr + 8, addr + 20); write_ptr_at(addr + 16, 0x80000014); } //fix array butterfly write_ptr_at(butterfly + 248, 0x1f0000001f); })(); //^ @sleirs' stuff. anything pre arb rw is magic, I'm happy I don't have to deal with that. //create compat stuff for kexploit.js var expl_master = new Uint32Array(8); var expl_slave = new Uint32Array(2); var addrof_expl_slave = addrof(expl_slave); var m = fakeobj(addrof(obj) + 16); obj.buffer = expl_slave; m[7] = 1; obj.buffer = expl_master; m[4] = addrof_expl_slave; m[5] = (addrof_expl_slave - addrof_expl_slave % 0x100000000) / 0x100000000; m[7] = 1;请解释以上代码及功能?
07-15
这段代码的目的是进行一些修复操作,以稳定浏览器,并创建一些兼容性的对象。 首先,定义了一个匿名函数,并在其中执行一系列操作。首先,通过调用`boot_addrof`函数获取到`obj`对象的地址,并将其加上偏移量16,然后通过调用`boot_fakeobj`函数将其转换为一个对象,并将其赋值给变量`magic`。 接下来,将`addrof_slave`和`addrof_obj_slave`的值分别赋给`magic[4]`和`magic[5]`,以将地址存储在`magic`对象中的`addrof_slave`和`addrof_obj_slave`位置。 然后,将`obj_master`赋值给`obj.buffer`,并将`addrof_obj_slave`的值分别赋给`magic[4]`和`magic[5]`。 最后,将变量`magic`置为null,释放其引用。 接下来,定义了另一个匿名函数,并在其中进行修复操作。首先,通过调用`read_ptr_at(addrof(post_ffs) + 8)`获取到一个地址,并将其减去208赋值给变量`ffs_addr`。然后,通过调用`read_mem(ffs_addr - 96, 208)`读取一段内存,并通过调用`write_mem(ffs_addr, read_mem(ffs_addr - 96, 208))`将其写入到之前计算出的地址中,以修复`FontFaceSet`对象。 接着,通过循环遍历`needfix`数组中的字符串,获取其地址,并依次修复其header。 最后,通过调用`write_ptr_at(butterfly + 248, 0x1f0000001f)`修复数组的butterfly。 接下来,创建了一些对象和数组,用于兼容性处理。 首先,创建了一个名为`expl_master`的长度为8的Uint32Array数组,以及一个名为`expl_slave`的长度为2的Uint32Array数组。然后,通过调用`addrof`函数获取到`expl_slave`的地址,并将其赋值给变量`addrof_expl_slave`。 接着,通过调用`fakeobj`函数将`addrof(obj) + 16`的结果转换为一个对象,并将其赋值给变量`m`。然后,将`expl_slave`赋值给`obj.buffer`,将1赋值给`m[7]`。 接下来,将`expl_master`赋值给`obj.buffer`,将`addrof_expl_slave`的值分别赋给`m[4]`和`m[5]`,并将1赋值给`m[7]`。 这段代码的目的是进行一些修复操作,以稳定浏览器,并创建一些兼容性的对象。其中包括修复`FontFaceSet`对象、修复字符串的header、修复数组的butterfly,并创建一些与之前进行攻击相关的对象和数组。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值