现象:用root账号登录,系统登录后会自动执行一个脚本,蹦出一句“Baga parola negrule:”要求输入验证码,如果随手敲击键盘并且回车,就会弹出"Fake Nigga"
原因:服务器由于弱口令被黑,/root/.bashrc配置文件被改写,导致无法登录进去。在其中添加了登录后的“Baga parola negrule:”验证脚本;同时蠕虫还在crontab里添加了挖矿脚本的计划任务,保持挖矿脚本一直运行。
解决方案:
1、选择登陆的系统页面时,按“E"进入救援模式
在linux16行的行尾添加内核参数 rd.break
然后Ctrl+X启动服务器,再执行以下命令
#重新挂载(可以省略)
mount -o remount,rw /sysroot/
#切换
sh-4.2# chroot /sysroot/
2、查看 cat /root/.bashrc文件,如果没找到,可能是被隐藏了,被黑的/root/.bashrc文件如下:
sh-4.2# cat /root/.bashrc
# .bashrc
alias cp='cp -i'
alias rm='rm -i'
alias mv='mv -i'
parola="pulamea321!"
echo Uname: $(uname -a)
clear
trap '' 2
trap '' 20
printf "Baga parola negrule:"
read -s pass
if [ $pass == "$parola" ]
then
echo "True Nigga"
else
:
echo "Fake Nigga"
exit;
fi
wait
trap 2
trap 20
其中parola字段为密码,如果登录时使用parola验证码是可以登录进去的,然后修改/root/.bashrc文件内容,也可以这样操作
执行vim /root/.bashrc,修改成正常的,如下:
[root@localhost aa]# cat /root/.bashrc
# .bashrc
# User specific aliases and functions
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
3、删除xmrig文件,不是在根目录就是在root下。(此步骤可以忽略)
4、删除被添加的定时任务启动项
#查看启动的定时任务
crontab -l
#清空定时任务
crontab -r
#重启服务
systemctl restart crond
5、重启服务器,即可正常登录(硬件关机重启也行)
#重启
reboot
6、修改root用户密码
su root
passwd