解决阿里云服务器出现恶意脚本代码执行问题

已于 2025-03-21 15:32:13 修改
阅读量677 收藏 9
点赞数 11
文章标签: 服务器 运维
于 2025-03-21 15:25:02 首次发布
Panda_Panda
本文链接:https://blog.csdn.net/weixin_57635535/article/details/146419393
版权

具体出现警告的信息如下:

1.终止恶意进程 

    1.定位可疑进程:使用 topps 等命令查看系统中占用资源较高的进程。例如,在终端中执行:

top -o %CPU

查看占用CPU最高的前10个进程​。如果发现名称可疑的进程(如未知的脚本或挖矿程序),记下其PID。也可以通过检查网络连接来发现恶意进程,使用命令:

# 对于CentOS/RedHat:
sudo systemctl stop crond
# 对于Ubuntu/Debian:
sudo systemctl stop cron

2.停止cron临时触发(可选):由于告警显示恶意脚本是通过crond启动的,为防止在清理过程中定时任务再次触发恶意脚本,建议先暂时停止cron服务。执行以下命令停止cron守护进程:

# 对于CentOS/RedHat:
sudo systemctl stop crond
# 对于Ubuntu/Debian:
sudo systemctl stop cron

3.杀死恶意进程:确认进程PID后,使用 kill 命令终止它:

sudo kill -9 <恶意进程PID>

2.检查并清理 Crontab 定时任务

查找恶意定时任务:由于告警涉及 /usr/sbin/crond 执行了可疑脚本,很可能攻击者在系统的计划任务中植入了恶意条目。我们需要彻底检查系统的crontab,并删除所有恶意的定时任务。

1.列出当前用户的计划任务:以root身份登录服务器,执行:

crontab -l -u root

 执行指令之后如图:

2.检查系统级计划任务:查看系统范围内的定时任务配置文件:

  • /etc/crontab:执行 cat /etc/crontab 查看其中是否有可疑命令。
  • /etc/cron.d/ 目录:执行 ls /etc/cron.d/ 查看是否存在可疑文件(攻击者可能新增文件)。对于目录中的每个文件,可以打开查看里面内容,确认是否有恶意命令。
  • /etc/cron.hourly/, /etc/cron.daily/ 等目录:检查这些目录下是否新增了可疑脚本文件。执行例如:
ls -l /etc/cron.hourly /etc/cron.daily /etc/cron.weekly

3.删除恶意crontab条目:对于在上述步骤中发现的恶意定时任务,需要将其移除:

  • 使用 crontab -e -u root 打开编辑root的计划任务列表,在编辑器中删除可疑的行(或在行前加#注释掉)。保存退出后,新设置会自动生效。
  • 如果恶意任务存储在文件(如/etc/cron.d/目录下某文件),直接删除该文件sudo rm -f /etc/cron.d/恶意文件名
sudo rm -f /etc/cron.d/恶意文件名
  • 如果是在 /var/spool/cron/ 里的条目,例如 /var/spool/cron/root 中存在恶意内容,可使用文本编辑器(如 vim)打开并删除相关行,或者用下面命令清空重建:
crontab -r -u root   # 小心使用!这将移除root所有定时任务
crontab -e -u root   # 若需要,重新添加必要的合法任务

 执行指令之后如图

出现 “Operation not permitted” 的原因很可能是 root的 crontab 文件被设置了不可变属性(immutable)。这是恶意程序常用的手段之一,防止管理员修改或删除它。

解决步骤如下:

1.查看是否有不可变属性
在终端执行

lsattr /var/spool/cron/root

如果输出的属性中包含 i,表示该文件被设置了不可变(immutable)
​​​​​

2.移除不可变属性
使用 chattr 命令解锁

chattr -i /var/spool/cron/root

如果提示权限错误,确保你是以 root 身份执行。另外,如果所在目录也被设了不可变属性,需要对目录也执行一次 chattr -i。例如:

chattr -R -i /var/spool/cron

-R 表示递归解锁子目录及文件)

运行结果如下

从操作输出看,已经顺利去掉了 /var/spool/cron/root 的不可变属性 ( i ),并且执行了 crontab -r -u root 来清空 root 用户的 crontab。接下来建议你做以下验证和后续清理步骤:

3.删除或修改 root 的 crontab

解锁后,在执行

crontab -r -u root

或者使用交互编辑方式:

crontab -e -u root

4.验证是否成功删除

crontab -l -u root

如无输出,说明当前 root 的计划任务已被清空。

4.重点观察可疑文件
有一些文件需要关注,判断它们是否与您的业务有关,或者是否明显可疑:

1./tmp/exp.so

查看文件类型:

file /tmp/exp.so

查看大小:

ls -lh /tmp/exp.so

初步查看字符串:

strings /tmp/exp.so | less

Panda__Panda
关注
挖矿病毒脚本恶意执行代码--扼杀在摇篮里
IT_Bigboy_sz的博客
05-24 290
此脚本是恶意将本机阿里云服务器请求信息传回到固定文件里,从而获得阿里云主机信息。直接扼杀在摇篮里,将curl、wget命令禁用。
因为操作失误—导致阿里云服务器被执行恶意脚本问题
qq_40572023的博客
12-12 1323
因为操作失误—导致阿里云服务器被执行恶意脚本问题
阿里云恶意脚本执行,疑似挖矿
weixin_46531837的博客
01-10 967
服务器阿里云恶意脚本,挖矿
阿里云服务器恶意脚本攻击的解决过程
hide-on-bush的博客
05-08 6258
1.阿里云服务器恶意脚本攻击(挖矿脚本),导致cpu被打满,服务器卡顿,根本无法使用 2.使用top查看各进程的内存和cpu使用情况,找到对应耗内存和cpu的进程id 3.原本想使用kill -9 pid 杀掉对应进程,结果杀掉之后,立马自动重新开启了一个进程; 4.使用 ll /proc/pid 查看进程的运行路径,各路径表示信息如下: cwd符号链接的是进程运行目录; exe符号连接就是执行程序的绝对路径; cmdline就是程序运行时输入的命令命令; environ记录了进程运行时的环境变量; f
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5383
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
如何应对阿里云服务器被暴力破解的攻击
cooldream2009的博客
10-07 2849
随着云计算技术的快速发展,越来越多的企业和个人用户选择将业务部署到云服务器上,然而,云服务器的安全性问题却时刻威胁着用户的数据和业务安全,尤其是暴力破解攻击。这类攻击通过不断尝试各种密码组合,最终获取服务器的控制权限。如果服务器的密码设置不当,攻击者很可能在短时间内入侵服务器,进而造成业务中断、数据泄露等严重后果。本文将详细介绍我在阿里云服务器上遭遇暴力破解攻击的经历,包括问题的发现、应对措施和最终的解决方案,并提供一些防范此类攻击的建议,帮助用户提升云服务器的安全性。
修复阿里云服务器漏洞的详细指南
cooldream2009的博客
09-26 1353
在当今的云计算时代,服务器安全性的重要性不言而喻。阿里云作为领先的云服务提供商,其平台为用户提供了诸多保障机制,帮助用户抵御潜在的网络安全威胁。然而,随着技术的不断更新,一些系统组件版本过低或存在漏洞,可能成为黑客攻击的入口,影响业务的稳定性。本文将详细介绍如何修复阿里云服务器上的两个常见漏洞:aslirp4netns 1.2.0-2.al8 和 fuse-overlayfs 1.11-1.0.1.al8l,帮助用户采取措施保障云端安全。
阿里云服务器如何关闭防火墙?阿里云安全组怎么设置端口?
littlesmallless的博客
11-23 2739
4、云防火墙:阿里云云防火墙是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护与等保合规利器。阿里云安全组怎么设置端口?目前国内云服务器在注重安全的同时会推出自带的防火墙,比如我们在默认情况下安装的云服务器阿里云会默认安装安骑士,同时安全组也是必须要设置的。我们常规的会用root密码登录,或者安全一些的我们也可以用密钥对文件登录,这样安全度更高一些。
阿里云安全恶意程序检测-数据集
03-20
security_submit.csv security_train.zip security_test.zip
记一次阿里云被执行恶意脚本
weixin_45925840的博客
05-29 1018
由于排查时忘记截图了。。。所以就纯文字 1 遇事第一步先重启,发现马上就100%那肯定是定时任务或开机自动执行的脚本 2 看定时任务 3 crontab -l 删除 crontab -e 删除 4 没权限 chattr 5 使用charttr也不行,chattr命令被删了 6 find / -name chattr 7 把chattr移回 mv charttr /usr/bin 8 解锁 chattr -ai /var/spool/cron/root 9 sudo......
OSS防止恶意被刷
xiangzaixiansheng的博客
10-09 8455
OSS和CDN都是一些常用的通过流量计费的,如果被恶意刷新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云的oss的防刷措施。首先我们分两种情况来排查:1、恶意referer访问2、恶意ip库脚本刷新。
Apache Tomcat - 远程代码执行漏洞 - CVE-2024-50379
最新发布
Blue17 の 小窝
02-16 1761
部分版本 Apache Tomcat 由于在验证文件路径时存在缺陷,如果 readonly 参数被设置为 false(这是一个非标准配置),并且服务器允许通过 PUT 方法上传文件,那么攻击者就可以上传含有恶意 JSP 代码的文件。通过不断的发送请求,攻击者可以利用条件竞争漏洞,使得 Tomcat 解析并执行这些恶意文件,从而实现远程代码执行
常见的php攻击(6种攻击详解)
qq1690194137的博客
04-02 1529
1、SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。[python] view plain copy $username = $_POST['username'];  $query = "select * from auth where u...
PHP漏洞全解
04-15 1056
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值