万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒

最新推荐文章于 2024-04-01 06:41:35 发布
最新推荐文章于 2024-04-01 06:41:35 发布
阅读量3.1k 收藏 8
点赞数
分类专栏: Linux 文章标签: linux 安全 cron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013591740/article/details/109157784
版权

现象

服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了;

 

处理过程

查看进程文件启动目录:cd /proc/PID(进程号)

1、使用top监控资源情况,发现异常,使用kill干掉了

2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则

3、查询定时任务日志  /var/log/cron,发现异常进程从某行代码开始

4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下

5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了

处理步骤

1、删除/bin/crondr文件等相关文件

# 解锁
chattr -ia /bin/crondr
chattr -ia /bin/sysdr
chattr -ia /bin/initdr
chattr -ia /bin/bprofr
chattr -ia /etc/init.d/pwnrig
chattr -ia /etc/rc.d/init.d/pwnrig


# 删除
rm -rf /bin/crondr
rm -rf /bin/sysdr
rm -rf /bin/initdr
rm -rf /bin/bprofr
rm -rf /etc/init.d/pwnrig
rm -rf /etc/rc.d/init.d/pwnrig
rm -rf /etc/rc.d/rc2.d/S90pwnrig
rm -rf /etc/rc.d/rc3.d/S90pwnrig
rm -rf /etc/rc.d/rc4.d/S90pwnrig
rm -rf /etc/rc.d/rc5.d/S90pwnrig

2、对于pwnrig和-bash文件也是,删除里面代码,再加锁;

3、删除定时任务和干掉进程;

 

20201102记录

============================================================

相关病毒文件:

/etc/init.d/pwnrig
/etc/rc.d/init.d/pwnrig

/usr/bin/initdr

/usr/bin/crondr
/usr/bin/sysdr
/usr/bin/bprofr 

 

 

以上如果还存在问题,可以参考这篇文章处理:

https://blog.csdn.net/jycjyc/article/details/106770998

https://blog.csdn.net/adscici/article/details/107382572

alibao
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask-crontab:简单的Flask计划任务,无需额外的守护程序
02-05
烧瓶-crontab 简单的Flask计划任务,无需额外的守护程序 该项目受到强烈启发,仅在Python 3.5+上有效。 由于2020年1月1日即将推出Python 2,因此尚无计划支持Python 2。快速开始通过pip安装: $ pip install flask-...
使用django-crontab实现定时任务的示例
09-20
在Python的Django框架中,有时我们需要实现一些定时任务,例如定期发送邮件、清理数据库、数据备份等。在这种情况下,可以借助第三方库`django-crontab`来实现。`django-crontab`允许我们在Django项目中方便地创建和...
基于crontab服务器恶意程序
高飞的专栏
03-31 3052
背景最近服务器总是启动一个恶意进程,大量占用系统,防火墙被关闭,crontab也执行的定时任务也不断被篡改,通过ps -aux命令清理掉一批可疑的进程,并且将自动下载恶意脚本的目标服务器加入的防火墙的拦截,恶意进程不再启动了,但是crontab还是会被篡改。问题分析通过分析crontab日志/var/log/cronMar 31 03:07:01 iZ253gehhtyZ CROND[17971]:
crontab设置导致的服务器进程异常问题
congbao6525的博客
08-27 298
前几天的时候,有个同事问我一个问题,大体的意思是突然收到报警,服务器的进程数翻了好几倍,其实那个服务器也没有任何操作。所以想让我帮忙看看。 他自己也做了一些简单的分析,可以看出,里面含有大量的CRONTD进程,sendm...
XMR恶意挖矿病毒攻击定时任务及js脚本的处理 及 Crontab定时任务分用户存储的坑
最新发布
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
04-01 313
之前我的阿里云服务器遭到XMR恶意挖矿病毒攻击, 见文章,今天有点时间就来准备看一下这个病毒shell文件shz.sh里面的具体内容,幸好看了,原来还有一个遗留病毒我没有解决。第2、3行关闭了setenforce安全验证。第15行16行分别干掉了wget和curl,难怪我在服务器上找不到这两个命令,有时一安装没一会就不行了。正是这里在捣乱。第20行给他的病毒文件加了特殊权限,让你一般删不掉。第35行把这个定时拉取病毒的程序写进了定时任务第43行给你的服务器添加了ssh登录。
crontab命令实现每天定时的病毒扫描
xiaoweiwei1234的博客
06-06 469
crontab命令实现每天定时的病毒扫描 前面已经介绍了一个简单的crontab命令操作,这里看一些更重要的操作。 (1)建立一个文件,文件名称自己设定,假设为caoproject: #crontab -e (2)文件内容如下: 05 09 * * * antivir 用vi编辑后存盘退出。     下文链接: http://blog.sina.com.cn/s/blog_6
网站服务器被挖矿木马攻击,hosts文件、crontab定时任务被锁定解决办法
ljk15036029526的博客
06-05 643
登录服务器发现异常,hosts文件被清空锁定无法修改和crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。判断可能是黑客利用redis漏洞攻击服务器,修改redis默认端口,配置redis复杂密码;判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)找到运行的木马程序,删除木马程序目录。最好给服务器配置新的密钥文件。
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法...
weixin_32463071的博客
05-06 1021
一、警告二、解决病毒1.docker 引发的挖矿程序的惨案(1)病毒原因(2)解决病毒2.定时任务crontab不能更改3.更改ssh端口4.莫名的curl,导致CPU过高三、完成一、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。二、解决病毒1.docker 引发的挖矿程序的惨案发现linux系统中使...
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
yan_dk的专栏
08-30 2105
本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。 有需要技术支持解决问题的朋友,可以联系我。 手机:18034263356 ...
PHP_crontab 漏洞,php对crontab的操作
weixin_39614011的博客
03-24 168
php_crontab基于pcntl和react/event-loop的定时任务管理器为什么使用php_crontab?当我们有少量的定时任务需要管理时,unix的crontab服务时足够的。如果我们有非常多的定时任务 需要管理时,机会有一些问题,例如:crontab服务通过一个文本文件管理定时任务,如果没有注释,对新人来说去理解他们是比较难的。如果定时任务分散在许多机器上,管理他们也是比较难的。...
thinkphp 5.1 定时任务Crontab 计划任务-think-cron.zip
01-30
thinkphp 5.1 定时任务Crontab 计划任务-think-cron
Node.js设置定时任务之node-schedule模块的使用详解
10-15
node-schedule是 Node.js 的一个定时任务crontab)模块。这篇文章主要介绍了Node.js设置定时任务之node-schedule模块的使用,需要的朋友可以参考下
django-crontab 定时执行任务方法的实现
09-18
主要介绍了django-crontab 定时执行任务方法的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,致使CPU太高,占用网络链接数过大的解决办法...
weixin_30074929的博客
05-06 807
1、警告html1、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议所有更改为本身自定义的端口,开启防火墙并开发本身须要的端口。ssh2、解决病毒1.docker 引起的挖矿程序的惨案发现linux系统中使用的docker自动建立了一些镜像,而且自动建立了不少容器。docker ps查看多了一些不是工做人员建立的容器9123b9382935 fel...
CVE-2006-0539漏洞复现
weixin_52355463的博客
05-19 102
受影响软件简介:Fcron是具有GNU 通用公共许可证(GNU GPL) 许可证的计算机程序,可执行周期性命令调度。它是在 Linux 上开发的,应该可以在POSIX系统上运行。与Anacron一样,它不假定系统是连续运行的,并且可以在不一直运行或不定期运行的系统中运行。在fcrontab程序中发现了缓冲区溢出,这是fcron 3.0.0的一部分,升级到fcron 3.0.1更安全,其中包括对这个漏洞的修复。通过使用过长的参数调用程序,本地攻击者可能会溢出缓冲区并导致系统崩溃或可能在系统上执行任意代码。
服务器攻击方式及防御措施?
热门推荐
咻一咻的博客
07-04 1万+
主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击攻击所造成的后果也因此而严重程度不同。 DDoS攻...
Linux 系统定时任务crontab,anacron
weixin_33751566的博客
05-10 202
Linux 系统定时任务crontab,anacron 一、Cron 服务 1. 启动服务 service cron start 2. 关闭服务 service cron stop 3. 重启服务 service cron restart 4. 重新载入配置 service cron reload 5. 查看服务状态 servi...
服务器恶意程序注入后的清理
weixin_34220179的博客
10-27 308
最近服务器段网络时段时继的,通过检查防火墙发现,防火墙不定时的UDP并发数高达5W左右,发现都是同一服务器发起的连接.通过分析相关日志后在boot日志中发现有个别程序定时重启而找不到目标,发现是原来被发现的恶意程序路径。/etc/rc5.d/S998iislog: line 3:/etc/init.d/cron: No such file or directorymkdir:...
遇到crontab 自动任务导致服务器崩溃的情况
郭猛的博客
11-15 1209
给遇到同样情况的码友一个思路。 我遇到的情况是一个运行时间较长的脚本,设置成了每分钟执行一次,结果导致了每分钟都新开一个进程来重新执行脚本,导致内存被完全占用。 解决办法是:在脚本开始时,先查找是否有记录进程id的文件,如果没有,则生成一个文件,记录一下当前进程的id;如果有,则不执行接下来的代码。
给debian docker容器添加www-data crontab定时任务
08-15
要给Debian Docker容器添加www-data用户的crontab定时任务,可以按照以下步骤进行操作: 1. 进入Docker容器的终端: ``` docker exec -it <容器ID> /bin/bash ``` 2. 切换到www-data用户: ``` su - www-data ``` 3. 使用crontab命令编辑定时任务: ``` crontab -e ``` 4. 在打开的文本编辑器中,按照以下格式添加定时任务: ``` * * * * * /path/to/command ``` 其中,星号代表通配符,表示执行每分钟任务,/path/to/command代表需要执行的命令或脚本的路径。根据实际需求,可以调整星号的位置和数字,来定义不同的执行频率。 5. 编辑完成后保存并退出文本编辑器。 这样,www-data用户就成功添加了一个crontab定时任务。该任务将定期执行指定的命令或脚本。记得在容器内安装所需的依赖和配置好任务需要使用的环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值