万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒

最新推荐文章于 2024-07-29 10:54:01 发布
最新推荐文章于 2024-07-29 10:54:01 发布
阅读量3.2k 收藏 8
点赞数
分类专栏: Linux 文章标签: linux 安全 cron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013591740/article/details/109157784
版权

现象

服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了;

 

处理过程

查看进程文件启动目录:cd /proc/PID(进程号)

1、使用top监控资源情况,发现异常,使用kill干掉了

2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则

3、查询定时任务日志  /var/log/cron,发现异常进程从某行代码开始

4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下

5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了

最低0.47元/天 解锁文章
alibao
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决挖矿病毒定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7354
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
django-crontab 定时执行任务方法的实现
09-18
定时执行任务是一种常见的需求,例如定期更新数据库、发送邮件、清理缓存等。在传统的Linux系统中,可以通过crontab服务来设置定时任务,但是这些任务与Django项目并没有直接的联系,操作起来可能不够方便。django-...
基于crontab服务器恶意程序
高飞的专栏
03-31 3084
背景最近服务器总是启动一个恶意进程,大量占用系统,防火墙被关闭,crontab也执行的定时任务也不断被篡改,通过ps -aux命令清理掉一批可疑的进程,并且将自动下载恶意脚本的目标服务器加入的防火墙的拦截,恶意进程不再启动了,但是crontab还是会被篡改。问题分析通过分析crontab日志/var/log/cronMar 31 03:07:01 iZ253gehhtyZ CROND[17971]:
记一次gsd挖矿病毒处置
weixin_47142436的博客
07-09 865
按照上述流程处置完成后,再次kill相关进程,并对客户主机进行重启,客户系统恢复,CPU使用率降至10%以下,观察超过30分钟未有新的挖矿进程出现,基本确认处理完成。结合客户所说,重启服务器后正常应用不能启动,挖矿进程会快速占满CPU,怀疑家目录下的bash_profile里面有关于挖矿进程的相关参数。ls -l /proc/PID/exe 查看此PID对应的程序,发现如下图所示,此程序不存在。发现bprofr文件的存在,将bprofr放到云沙箱进行检查,确定为挖矿程序。
crontab命令实现每天定时的病毒扫描
xiaoweiwei1234的博客
06-06 479
crontab命令实现每天定时的病毒扫描 前面已经介绍了一个简单的crontab命令操作,这里看一些更重要的操作。 (1)建立一个文件,文件名称自己设定,假设为caoproject: #crontab -e (2)文件内容如下: 05 09 * * * antivir 用vi编辑后存盘退出。     下文链接: http://blog.sina.com.cn/s/blog_6
网站服务器被挖矿木马攻击,hosts文件、crontab定时任务被锁定解决办法
ljk15036029526的博客
06-05 702
登录服务器发现异常,hosts文件被清空锁定无法修改和crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。判断可能是黑客利用redis漏洞攻击服务器,修改redis默认端口,配置redis复杂密码;判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)找到运行的木马程序,删除木马程序目录。最好给服务器配置新的密钥文件。
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法...
weixin_32463071的博客
05-06 1098
一、警告二、解决病毒1.docker 引发的挖矿程序的惨案(1)病毒原因(2)解决病毒2.定时任务crontab不能更改3.更改ssh端口4.莫名的curl,导致CPU过高三、完成一、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。二、解决病毒1.docker 引发的挖矿程序的惨案发现linux系统中使...
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
yan_dk的专栏
08-30 2177
本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。 有需要技术支持解决问题的朋友,可以联系我。 手机:18034263356 ...
thinkphp 5.1 定时任务Crontab 计划任务-think-cron.zip
01-30
在ThinkPHP 5.1中,定时任务通常被称为计划任务,它们允许开发者设置定期执行的任务,而无需用户交互。这在许多场景下非常有用,例如数据备份、日志清理、发送邮件等周期性任务。ThinkPHP提供了`think-cron`组件来...
flask-crontab:简单的Flask计划任务,无需额外的守护程序
02-05
烧瓶-crontab 简单的Flask计划任务,无需额外的守护程序 该项目受到强烈启发,仅在Python 3.5+上有效。 由于2020年1月1日即将推出Python 2,因此尚无计划支持Python 2。快速开始通过pip安装: $ pip install flask-...
Ubuntu-使用crontab定时任务
02-28
### Ubuntu 使用 Crontab 定时任务 CrontabLinux 系统中一个非常重要的工具,用于在固定时间执行指定的任务。对于 Ubuntu 用户来说,掌握 crontab 的使用方法可以大大提高系统的自动化管理水平。 #### 一、...
使用django-crontab实现定时任务的示例
09-20
在Python的Django框架中,有时我们需要实现一些定时任务,例如定期发送邮件、清理数据库、数据备份等。在这种情况下,可以借助第三方库`django-crontab`来实现。`django-crontab`允许我们在Django项目中方便地创建和...
PHP_crontab 漏洞,php对crontab的操作
weixin_39614011的博客
03-24 182
php_crontab基于pcntl和react/event-loop的定时任务管理器为什么使用php_crontab?当我们有少量的定时任务需要管理时,unix的crontab服务时足够的。如果我们有非常多的定时任务 需要管理时,机会有一些问题,例如:crontab服务通过一个文本文件管理定时任务,如果没有注释,对新人来说去理解他们是比较难的。如果定时任务分散在许多机器上,管理他们也是比较难的。...
crontab异常任务删除不了,清除挖矿病毒
qq_34200979的博客
06-20 475
通过分析配置文件的内容,发现这些配置是用于设置某个加密货币矿机的参数,这证实了之前的猜测:这个异常程序确实是一个挖矿程序。命令查看用户的定时任务列表,果然发现了异常的定时任务。进一步调查后发现,这个定时任务是由一个位于国外服务器的IP地址设置的。此时虽然还不能确定这个异常程序是否为挖矿程序,但出于安全考虑,决定先删除这个定时任务。(可能是一个误写或自定义的进程名)的两个异常线程占用了大量的CPU资源,几乎导致CPU满载。编辑定时任务列表时,发现由于文件或目录的扩展权限设置,不允许进行编辑操作。
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,致使CPU太高,占用网络链接数过大的解决办法...
weixin_30074929的博客
05-06 929
1、警告html1、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议所有更改为本身自定义的端口,开启防火墙并开发本身须要的端口。ssh2、解决病毒1.docker 引起的挖矿程序的惨案发现linux系统中使用的docker自动建立了一些镜像,而且自动建立了不少容器。docker ps查看多了一些不是工做人员建立的容器9123b9382935 fel...
记录一次服务器被(crontab)木马入侵事件
最新发布
XT4625的专栏
07-29 338
重启通过用户模式进入,查看进程发现有个定时任务一直在自动创建并执行(进程ID一直在变化,而且占满CPU,杀死之后马上又复活了,重启也一样),怀疑被入侵了。更改reids 默认端口和密码,升级nacos,然后我们的业务不需要用到境外IP,所以干脆就直接禁用境外IP。后面反馈运营商排查入侵原因,可能是通过 redis 默认端口或者nacos 漏洞。背景:发现平时正常登录的服务器突然进不去,也没明细的错误,重启也登录不了!清除木马程序和所有crontab 异常计划后,重置服务器密码,重启服务器
CVE-2006-0539漏洞复现
weixin_52355463的博客
05-19 129
受影响软件简介:Fcron是具有GNU 通用公共许可证(GNU GPL) 许可证的计算机程序,可执行周期性命令调度。它是在 Linux 上开发的,应该可以在POSIX系统上运行。与Anacron一样,它不假定系统是连续运行的,并且可以在不一直运行或不定期运行的系统中运行。在fcrontab程序中发现了缓冲区溢出,这是fcron 3.0.0的一部分,升级到fcron 3.0.1更安全,其中包括对这个漏洞的修复。通过使用过长的参数调用程序,本地攻击者可能会溢出缓冲区并导致系统崩溃或可能在系统上执行任意代码。
记一次服务器入侵事件的应急响应
小王的储物间
02-24 705
我们推测攻击者不止一个,并且都是通过SSH弱口令入侵服务器。事件时间线如下图所示:第一波攻击者可能是挖矿组织,在5月7日大概率利用SSH弱口令进入服务器上传挖矿程序somescript,且做了对应的维持手段。第二波攻击者可能是黑产组织,攻击时间为7月16日至7月17日,其操作是对网站做黑帽SEO,更改宝塔后台并上传大量后门。第三波攻击者应该只是想控制一批跳板机,在8月17日上传了代理程序,目前在服务器上出现的恶意事件最后截止也是到8月17日。
服务器攻击方式及防御措施?
热门推荐
咻一咻的博客
07-04 1万+
主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击攻击所造成的后果也因此而严重程度不同。 DDoS攻...
给debian docker容器添加www-data crontab定时任务
08-15
要给Debian Docker容器添加www-data用户的crontab定时任务,可以按照以下步骤进行操作: 1. 进入Docker容器的终端: ``` docker exec -it <容器ID> /bin/bash ``` 2. 切换到www-data用户: ``` su - www-data ``` 3. 使用crontab命令编辑定时任务: ``` crontab -e ``` 4. 在打开的文本编辑器中,按照以下格式添加定时任务: ``` * * * * * /path/to/command ``` 其中,星号代表通配符,表示执行每分钟任务,/path/to/command代表需要执行的命令或脚本的路径。根据实际需求,可以调整星号的位置和数字,来定义不同的执行频率。 5. 编辑完成后保存并退出文本编辑器。 这样,www-data用户就成功添加了一个crontab定时任务。该任务将定期执行指定的命令或脚本。记得在容器内安装所需的依赖和配置好任务需要使用的环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值