首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux 遭入侵,挖矿进程隐藏排查记录

今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是揪出来啦 ? ?...这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程, 这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件.../tmp/.x,然后执行 注意:这个执行文件会修改服务器的一些配置,如dns,hosts,定时任务,创建可执行文件 查看dns 果然dns修改了 ?

7.4K30

安全研究 | Linux 遭入侵,挖矿进程隐藏案例分析

;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析: https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w 在服务器入侵后...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 通过查看文件内容,可以看到加载一个 .so 文件:/usr/local/lib/libjdk.so ?...继续分析变更的文件,还能看到相关文件也变更,比如黑客通过修改 /etc/rc.d/init.d/network 文件来进行启动: ? 同时修改 /etc/resolv.conf : ?

3.2K80
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    linux 隐藏权限

    隐藏权限的介绍 有时候你发现即时使用的是root用户也不能修改某个文件,大部分原因是因为使用过chattr命令锁定了该文件,这个命令的作用很大,通过chattr可以提高系统的安全性,但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性,这里面我们所提到的隐藏权限指的就是使用chattr来设置属性 隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...,chow这些命令相似,都是直接对需要修改的文件进行操作就可以了 chattr命令:为文件设置隐藏权限 命令选项 + 增加权限 - 删除权限 = 赋予什么权限,文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限 通过案例学习命令用法: 给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用

    3.8K20

    Linux 文件隐藏权限

    文件的隐藏权限 除了文件的读写,执行权限外,linux还有一种隐藏权限,设置隐藏权限可以防止一些其他用户的误操作或者恶意操作,当我们配置了nginx的放跨站攻击或其他安全措施后,相应的会在项目的根目录下生成一个隐藏文件....user.ini,当删除整个项目时会阻止操作完成.我们使用ls命令并使用chmod chown等命令设置了文件权限后会发现还是无法删除.这就是因为这个文件有隐藏的权限 查看文件的隐藏权限类型 命令:...12 X:可以直接访问压缩文件的内容 13 e: 表示文件以ext4 extents存储的,ext4上新建文件的默认属性,不可用chattr修改 取消或添加文件的隐藏权限 使用+ -加权限类型即可设置文件的隐藏权限...chattr -i //减去文件的 i 隐藏数字属性,然后即可使用rm 正常删除 chattr +i //添加隐藏权限

    12.1K41

    Linux隐藏权限 lsattr chattr

    Linux 系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接用户发觉。...有用户曾经在生产环境中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容的情况,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件权限也保障了 Linux...既然叫隐藏权限,那么使用常规的 ls 命令肯定不能看到它的真面目。隐藏权限的专用查看命令是 lsattr,专用设置命令是 chattr。...如果想要把某个隐藏功能添加到文件上,则需要在命令后面追加 “ +参数 ” ,如果想要把某个隐藏功能移出文件,则需要追加 “ -参数 ” 。...一般会将 -a 参数设置到日志文件(/var/log/messages)上,这样可在不影响系统正常写入日志的前提下,防止擦除。

    1.5K30

    Linux历史命令的记录与隐藏

    linux下历史命令通常有两大用处,一个是快速复用,另外是审计,快速复用在之前的文章linux命令行技巧中提过,有兴趣的可以去看看,今天主要说审计部分,分两部分:记录历史命令和隐藏命令行历史,分别针对运维防护及入侵渗透...,下面分别介绍 记录所有用户历史命令 原本的linux默认记录1000条历史记录,且只记录命令,完全没办法做审计,当遇到服务器入侵等情况,做审计工作时,如果你没有开启audit,或其他第三方审计工具,在通过...你还可以在这里增加用户,以及客户端IP等 隐藏你的命令行历史 相对于命令行记录,隐藏命令行历史,除了在渗透测试中使用,还有一些使用场景,比如特权命令不想别人看到,或者比较重要的命令不希望在浏览历史命令时误执行...然后再通过set -o history的方式,开启history,这种方式的好处在于,你不必全部清除所有历史命令,这样在渗透过程中可以灵活屏蔽不想记录的命令,而不会被审计人员发现 history命令管理...不过这种方式会留个小马脚 ok,以上就是今天要介绍的linux下命令历史记录的保存及隐藏方式

    6.5K30

    6个Linux痕迹隐藏小技巧!

    本文将会分享如下 6个linux痕迹隐藏技巧,来跟蓝队来一场斗智斗勇吧 <( ̄︶ ̄)↗[GO!]...隐藏远程SSH登陆记录 清除当前的history记录 隐藏Vim的操作记录 隐藏文件修改时间 锁定文件 清除系统日志痕迹 1. 隐藏远程SSH登陆记录 隐身登录系统,不会被w、last等指令检测到。...清除当前的history记录 如果我们不希望命令记录,在退出会话前直接执行: # 清除当前会话的命令历史记录 history -r # 或者 不给当前的shell留时间去处理,内存的命令也就没时间写入到文件...但是稍微有经验的管理员使用stat或者 find ./ -ctime 0 -name "*.php" 就会发现这里的问题 # 查找24小时内创建的php文件 find ./ -ctime 0 -name...清除系统日志痕迹 Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志 清除系统日志痕迹 /var/log/btmp 记录所有登录失败信息,使用lastb命令查看 /var/log/lastlog

    3.4K20

    一行代码如何隐藏 Linux 进程?

    作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度...本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。...如果你觉得 guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法: target->pid = xxxx; return -1;...简单的说一下原理: task创建的时候,根据其pid注册procfs目录结构。 展示procfs目录结构的时候,遍历task list以其pid作为key来查找procfs目录结构。

    2.4K40

    【权限维持】Linux下的几种隐藏技术

    0x00 前言 攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。...0x01 隐藏文件 Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图: ?...一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al 这里,我们可以看到在/tmp下,默认存在多个隐藏目录,这些目录是恶意文件常用来藏身的地方...0x03 隐藏历史操作命令 在shell中执行的命令,不希望记录在命令行历史中,如何在linux中开启无痕操作模式呢?...如何在Linux中发现隐藏的进程? unhide 是一个小巧的网络取证工具,能够发现那些借助rootkit,LKM及其它技术隐藏的进程和TCP / UDP端口。

    2.9K20
    领券