网站首页 站长资讯 正文
近日演示站服务器被黑,上行异常,宽带总是拉满,经过判断确定是被黑了,被加入的自启动的挖矿代码。
联系了服务器客服,二五仔客服没有解决方案,这就算了,居然让我重装宝塔。
该被黑的服务器中装了几十上百个站点,断然是不能整体重装的,只有自己想办法。
付费下载了个“宝塔任务管理器”,果然看到了异常的进程:除了work32以外,还会不断的生成随机英文名应用名称的进程,直接结束异常进场即可。
同时查看启动项,还注意到有用户自定义的自动脚本:/etc/rc.local
该脚本代码如下:
#!/bin/bash # THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES # # It is highly advisable to create own systemd services or udev rules # to run scripts during boot instead of using this file. # # In contrast to previous versions due to parallel execution during boot # this script will NOT be run after all other services. # # Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure # that this script will be executed during boot. touch /var/lock/subsys/local /opt/linux_ic/setme sh /opt/linux_ic/disk.sh /usr/.work/work32&
经过尝试发现该代码难以删除,无奈只能百度寻找答案,发现一篇文章:《Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播》与我的情况相似
病毒现象:
1、病毒启动后,会释放如下文件:
/tmp/xmr (xmrig挖矿程序)
/tmp/config.json (xmrig挖矿配置文件)
/tmp/secure.sh (封禁爆破IP)
/tmp/auth.sh (封禁爆破IP)
/usr/.work/work64 (病毒母体文件)
2、病毒进程
./work32-deamon
./work64 -deamon
/tmp/xmr
/usr/.work/work32
/usr/.work/work64
/bin/bash /tmp/secure.sh
/bin/bash /tmp/auth.sh
我按照如上文件路径检测,果然发现大量异常文件,文件大小均为:535.77kb
另外可以发现这部分文件权限明显迥然与该目录下其他文件权限,为755权限。
随着摸索的深入,我发现只能用土方法:对比正常的宝塔任务管理器线程、服务、启动项来对中马服务器进行修复。
我想是以为服务器以前安装的是宝塔开心版,后来才升级成了正版,应该是使用破解版本的时候被人拿了后台,安装了自启动的挖矿脚本。
- 上一篇: 移动端高权重影视泛目录
- 下一篇: 6月1日是《中华人民共和国网络安全法》实施五周年
必看说明
- 本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。
- 本站文章或仅为文本内容原创,非程序原创。如有侵权、不妥之处,请联系站长第一时间删除。敬请谅解!
- 本站所有内容严格遵守国家法律的条例,所有研究的算法技术均来源于搜索引擎公开默认允许用户研究使用的接口。
- 阅读本文及获取资源前,请确保您已充分阅读并理解《访问曹操SEO网站需知:行为准则》。
- 本站分享的任何工具、程序仅供学习参考编写架构,仅可在本地的虚拟机内断网测试,严禁联网运行或上传搭建!
- 任何资源必须在下载后24个小时内,从电脑中彻底删除。不得传播或者用于其他任何用途!否则一切后果用户自负!
- 转载请注明 : 文章转载自 曹操资源网 Linux服务器如何查杀挖矿木马
- 本文标题:《Linux服务器如何查杀挖矿木马》
- 本文链接:http://www.ccooc.cc/1082.html
猜你喜欢
- 2023-05-10 寄生虫推广,一种黑帽SEO优化手法
- 2023-05-07 卓越关键词自动拓展采集工具
- 2023-04-18 金融新闻资讯站群程序
- 2023-04-17 应用汇资源分享站群程序
- 2023-04-13 使用JS获取文本内标题,并附加到现有标题
- 2023-04-10 阀门制造行业企业站群程序
- 2023-04-07 灯具照明行业企业站群程序
- 2023-04-07 人才咨询行业企业站群程序
- 2023-04-07 站长平台二级域名添加软件(免费)
- 2023-04-06 站群泛目录批量生成网址链接工具
你 发表评论:
欢迎- 05-26警惕“冒用身份”的电信网络诈骗
- 05-11PHP使用纯真IP数据库输出ip位置
- 05-11ChatGPT的高效应用:指令大全
- 05-10堤防“瑞熙工作室”利用QQ及微信诈骗
- 05-10手机狐狸网资讯站群程序
- 05-10使用php在拼音转文字时过滤掉标点符号及英文字符
- 05-10买卖备案域名的法律规定
- 05-10泛目录站群的操作方法及注意事项
- 2007℃小米浏览器禁止网址访问的处理方法
- 861℃分析超度站群实现百度本周收录较多的站点
- 712℃免费的百度SEO搜索点击程序
- 701℃网站如何才能快速收录?
- 688℃我站最新联系方式通知
- 668℃搜狗推送链接引蜘蛛软件:Sougou推送程序
- 667℃CCbook小说站群无限制版
- 664℃使用Google账号接码指南
- 164℃警惕“冒用身份”的电信网络诈骗
- 141℃「百日行动」“断卡”行动持续发力
- 132℃遵纪守法:一起举报违法网址
- 342℃提防以免费做蜘蛛池为幌子卖域名的套路
- 522℃群内一切的私下交易行为,与我站无关!
- 176℃堤防“瑞熙工作室”利用QQ及微信诈骗
- 418℃提防“凤凰于飞”诈骗,加强网络安全认知!
- 502℃关于近期网站内容修改短期闭站的情况通知
- 文章归档
-
- 2023年5月 (17)
- 2023年4月 (45)
- 2023年3月 (23)
- 2023年2月 (9)
- 2023年1月 (11)
- 2022年12月 (9)
- 2022年11月 (4)
- 2022年10月 (33)
- 2022年9月 (41)
- 2022年8月 (19)
- 2022年7月 (19)
- 2022年6月 (20)
- 2022年5月 (9)
- 2022年4月 (42)
- 2022年3月 (65)
- 2022年2月 (1)
- 2022年1月 (4)
- 2021年12月 (23)
- 2021年11月 (2)
- 2021年10月 (4)
- 2021年9月 (22)
- 2021年8月 (70)
- 2021年7月 (1)
- 2021年6月 (21)
- 2021年5月 (28)
- 2021年4月 (1)
- 2021年3月 (42)
- 2021年1月 (8)
- 2020年12月 (34)
- 2020年11月 (15)
- 2020年10月 (39)
- 2020年9月 (107)
- 2020年8月 (37)
- 2020年7月 (22)
- 2020年6月 (46)
- 2020年5月 (120)
- 2020年4月 (76)
- 2020年3月 (81)
- 2020年2月 (69)
- 2020年1月 (14)
- 2019年12月 (38)
- 2019年11月 (11)
- 2019年10月 (25)
- 2019年9月 (2)
- 2017年10月 (1)
- 标签列表
- 站点信息
-
- 文章总数:1332
- 页面总数:1
- 分类总数:47
- 标签总数:337
- 评论总数:39
- 浏览总数:245225
本文暂时没有评论,来添加一个吧(●'◡'●)