甘肃龙网

  1. 首页 > 生活 > >

记一次阿里云被挖矿处理记录( 二 )

生活百科动态库


$ rm -rf /usr/local/lib/libprocesshider.so
啥?万能的 rm -rf 大法居然失效了,这家伙身上居然给自己加了个盾,大招居然没有收到人头 。
冷静一下,仔细分析 。既然不能删除,那就是有着隐藏属性,等待技能冷却,我还有招 。
$ lsattr /usr/local/lib/libprocesshider.so
果然,文件被追加了隐藏属性 。可以看到有 i 和 a 属性 。
文件隐藏属性解释:
属性选项功能
如果对文件设置 i 属性,不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置 i 属性,只能修改目录下文件中的数据,但不允许建立和删除文件
如果对文件设置 a 属性,只能在文件中增加数据,不能删除和修改数据;如果对目录设置 a 属性,只允许在目录中建立和修改文件,不允许删除文件
设置此属性的文件或目录,在删除时,其内容会被保存,以保证后期能够恢复,常用来防止意外删除文件或目录
和 u 相反,删除文件或目录时,会被彻底删除(直接从硬盘上删除,然后用 0 填充所占用的区域),不可恢复
既然加了盾,那把盾给破了就是:
$ chattr -ia /usr/local/lib/libprocesshider.so
什么,没权限,这是反弹伤害吗?这,玩不下去了啊 。
试试分身术吧 。
$ cp /usr/bin/chattr /usr/bin/chattr2$ chattr2 -ia /usr/bin/chattr
【记一次阿里云被挖矿处理记录】没报错,嗯,再试试
$ chattr -ia /usr/local/lib/libprocesshider.so
咋,还提示没权限 。
再看一下
$ file /usr/bin/chattr

记一次阿里云被挖矿处理记录

文章插图
这这这,跟我这虚晃一枪呢 。你把我原来的文件删了,给我放个空文件,你是想骗谁呢 。
看来要重装了,但是机器上跑了不少服务,担心有影响 。集中精力,冥想三分钟,条条大路通罗马,此路不通,换路走 。谁让咱兄弟姐妹多呢 。
服务器都是选择的一样的镜像,版本一致,从其它未被攻击的系统中拷贝一份 ,(划重点)拷贝到服务器上时,请换一个文件名称,通过新的文件修改原来的文件 。如。
$ chattr2 -ia /usr/bin/chattr$ rm -rf /usr/bin/chattr$ mv /usr/bin/chattr2 /usr/bin/chattr
正主归位,一切妖魔邪道即将化为无形 。
$ chattr -ia /usr/local/lib/libprocesshider.so$ chattr -ia /etc/ld.so.preload$ rm -rf /usr/local/lib/libprocesshider.so$ rm -rf /etc/ld.so.preload
此时,通过 top 即可看到 /bin/ 进程 。没有了隐身衣,无所遁形了吧 。
那么,接下来,就应该干掉“罪魁祸首”了 。大蛇精和蝎子精已死,救爷爷终于有希望了 。
/bin/ 是通过软链指向 /usr/bin/,不墨迹,直接干掉本尊 。
$ chattr -ia /usr/bin/daemon$ rm -rf /usr/bin/daemon
当然,记得杀掉运行中的 /bin/ 进程
$ kill -9 2415
四、守护者
一般的挖矿脚本程序肯定都有一个守护进程,保证挖矿的进程被杀之后,可以重新启动,绝大多数是用的定时任务的方式 。既然通过-l 没看到定时任务,那就看看 /etc/cron.d 目录下有没有:
果然,在 /etc/cron.d 目录下,存在着定时任务脚本,查看脚本内容:
$ cat /etc/cron.d/systemd
果然运行了一条定时任务,查看指向的脚本内容:
$ cat /lib/systemd/systemd-login
脚本文件没有内容,file /lib//-login
very short file(no magic)
什么 ,先不管了,干掉再说 。
$ rm -rf /lib/systemd/systemd-login$ rm -rf /etc/cron.d/systemd$ rm -rf /etc/cron.d/systemd~$ rm -rf /etc/cron.d/systemz~


上一篇:什么莫斯可以爬满沉木,莫斯怎么绑在沉木上

下一篇:90年代经典港漫《古惑仔》猛人精选之太子大佬何得何能称为战神? 古惑仔之世界之最漫画